クラウドセキュリティを守る規格ISO27001とは
みなさんこんにちは!わらがい紗羅@ISOプロです。
昨今のIT業界のトレンドに「クラウド」が登場しました。クラウドとは、インターネットなどのネットワーク経由でユーザーにサービスを提供する形態のことです。
代表的なクラウドサービスとしては、Yahoo!メールやGmailがあります。また、Googleが提供するスプレッドシートやブラウザ上で利用可能な会計ソフトもクラウドサービスと呼べるでしょう。
どこにいてもインターネットにアクセスすることさえできればインストール不要で利用することができるクラウドサービスは、便利な反面、情報セキュリティ的に心配な点もあります。
今回のnoteは、クラウドセキュリティについてお話していきたいと思います。
ISOが定めるクラウドセキュリティ
クラウドサービスの本格的な普及に伴い、クラウドサービスのセキュリティ要求事項の明確化が求められ、クラウドサービス向けの国際規格(ISO/IEC27017:2015 情報技術-セキュリティ技術-ISO/IEC27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範)が発行されました。
ISO27017とは、クラウドサービスの提供や利用に対して適用されるクラウドセキュリティの認証規格です。情報セキュリティマネジメントシステムとして知られるISO27001認証を補完する「アドオン規格」としての位置づけを持っており、様々なクラウド上のリスクへの備えを示したガイドラインです。ISO27001を取得した、あるいはこれから取得する企業の中でもクラウドサービスを利用・提供する事業者を対象としています。つまり、ISO27017を取得するためには、ISO27001を”取得している”必要があります。
この規格はクラウドサービスを利用する事業者がより安全にサービスを利用するために、ISO27017の規格に準じた最大79個の管理策をカバーしており、セキュリティを保つための枠組みを示しています。
ISO27017はクラウドサービスのスタンダードとなりつつあるAWSを提供するAmazonや検索のエバンジェリストであるGoogleが認証を取得したとあって、世界的にも注目を集めており、今後も様々な展開が予想されています。
クラウドサービスは機密性に劣る
情報セキュリティの3大要素である、「可用性」、「完全性」、「機密性」の要件をバランスよく保ち、継続的改善を行うことで、情報セキュリティに強い企業を作り上げていくのです。三大要素とは簡単に説明すると以下の通りです。
・可用性…使いたいときに使える状態で管理すること
・完全性…保有している情報を正確かつ最新の状態で管理すること
・機密性…情報が漏れないように管理すること
クラウドサービスの特徴として、端末にデータを残さずに情報にアクセスすることができるため、可用性に優れています。また、常に最新のデータにアクセスすることができるため、完全性にも優れているのです。
しかし、弱点としてインターネット上という管理しにくい場所に情報があるため、機密性に劣ります。クラウドサービスの性質上、企業の資産である情報を他社に「預ける」ことになるため、自社のマネジメントシステムだけでセキュリティ維持することが難しいのです。
クラウドサービスにあたっては、機密性に特に注意しながらセキュリティ管理を行う必要があることが分かります。
今までの情報セキュリティマネジメントシステムで対応できるの?
ISO27001は、可用性、完全性、機密性の3つの要素をバランスよく保つことで、セキュリティ対策を高めていくため、幅広く対応することが出来そうですが、なぜISO27001だけではなく、規格のアドオンとしてISO27017が注目を集めているのでしょうか。
AmazonやMicrosoftなどのサービスが急速に普及したことから、大企業や中小企業など幅広く容易にクラウドサービスを利用できるようになりました。ISO27001だけでなく、規格のアドオンとしてのISO27017がなぜ注目を集めているのかというと、様々な要因は考えられますが、単純にクラウドサービスが身近になり、利用に対する障壁が低くなってきたからではないでしょうか。
ISO27001の管理策だけでは安全にクラウドサービスを利用するのに十分なマネジメントシステムを構築することができないのです。
ISO27017はクラウドサービスを提供する側、または利用する側の両方の立場で取得することが可能であり、ISMS構築に検討したリスク対策の管理策に加え、最大で79個の管理策を検討する必要が生じます。
サービスを提供する側は、自社の情報セキュリティに関する情報を積極的に提供し、顧客のサービス選択のために手助けをすること。利用する側は、提供された情報を精査し、必要に応じて情報を要求することで適切なサービスを利用することがそれぞれ求められています。
ISO27017の枠組みに従って情報セキュリティ体制することで、クラウドサービスをより安全に提供、利用することが可能になります。
最後に
今回は、ISO27001のアドオン規格、ISO27017についてお話していきましたが、いかがだったでしょうか。
私たちの身近でも当たり前に使うようになったクラウドサービスですが、便利な反面、弱点があることが分かりました。
ISO27001だけではカバーしきれないところを、ISO27017を取得することで、より現状にあったセキュリティ対策をすることができるんですね。
まずは、ISO27001を取得する必要がありますが、今後クラウドサービスの利用が増えると思うので、取得を検討してみるのもいいかもしれませんね!
最後まで読んでいただきありがとうございます。今後ともISOプロ、わらがい紗羅@ISOプロをよろしくお願いいたします。
☟☟ぜひTwitterのフォローもよろしくお願いいたします!☟☟
ISOプロ @isopro_haccp
わらがい紗羅@ISOプロ @iso_waragaisara
☟☟ISOプロのサイトはこちら☟☟
この記事が気に入ったらサポートをしてみませんか?