クラウドセキュリティガイドラインとは?その内容やポイントを解説

この記事は約9分で読めます。

ISMS制度の運営元であるJIPDECが運営する「ISMSクラウドセキュリティ認証」を取得するためには、JIP-ISMS517という文書への準拠が求められます。

ですが、自社でISO27017の認証を取得する場合、その前にまず担当者がしなければいけないのは、クラウドサービス固有の情報セキュリティ管理策・実施のガイドラインであるISO27017規格を読解することです。

とは言え、ISO27017はクラウドサービスのセキュリティに馴染みのない人にとっては、中々理解しづらい文章です。聞きなれない単語が多く、規格特有の堅苦しい言い回しに加えて、クラウドに関する技術的な理解も必要となります。

そこで今回は、専門知識が無い方でも分かるように、クラウドセキュリティガイドラインの内容と、ポイントを解説します。

また、ISO27017について調べているという方へ、ISM27017の管理策をLRMのコンサルタントによる解説付きで一覧化した資料を無料で配布しています。まずはご一読ください。

クラウドセキュリティガイドラインとは

ISO27017規格をかんたんにしてくれる資料、それが日本の経済産業省が発行している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」、通称「クラウドセキュリティガイドライン」です。

クラウドサービスを利用する事業者において、顧客の個人情報が流失してしまうインシデントがここ数年で増加しており、問題になっています。

また、独立行政法人情報処理推進機構(IPA)の「コンピュータウイルス・不正アクセスの届出状況 2021年」では、設定ミスによる割合が全体の17.7%と、2割近くあり、クラウドサービス利用に関する設定不備が生じないように、具体的な対策を記載したものがクラウドセキュリティガイドラインです。

ISO27017とは

ISO27017は、ISO認証の一種です。

ISOとは、国際標準化機構(International Organization for Standardization)の略であり、取引における国際的な統一ルールを定める役割を果たしています。

ISO27017規格は、日本発祥の規格であり、その元となった文書が「クラウドセキュリティガイドライン」のため、ISO27017で理解できない部分があった場合、このガイドラインを参考にすることで、理解を深めることができます。

もし、ISO27017に適合していることを証明できれば、情報セキュリティが適切に行われていると、顧客や世間にアピールが可能です。

ISO27017の9.2.1(CSP)を例に、クラウドセキュリティガイドラインのわかりやすさを比較!

例えば、ISO27017の9.2.1(CSP)には、以下のような記述があります。

クラウドサービスカスタマのクラウドサービスユーザによるクラウドサービスへのアクセスを管理するため、クラウドサービスプロバイダは、クラウドサービスカスタマに利用者登録・登録削除の機能およびそれを利用するための仕様を提供することが望ましい。

日本規格協会『ISO27017 邦訳版』

「利用者登録機能や削除機能は分かるけど、“それを利用するための仕様”とはなんだ?」と感じた方も多いのではないでしょうか。

このように、やや理解がしづらく、具体的な仕様については抽象的な表現が多いです。

この場合「クラウドセキュリティガイドライン」を参照してみることで、解決できます。

クラウドセキュリティガイドラインの11.2.1利用者登録(事業者の実施が望まれる事項)の節には、以下の記述があります。

クラウド事業者は、クラウド利用者のクラウドサービス利用者 ID の登録・削除機能を提供することが望ましい。また、このような機能について、必要に応じて次の情報を提供することが望ましい。
a) 利用者ID登録・削除の手順
b) 利用者ID登録・削除に必要な情報
c) 利用者の同一性検証の仕様
d) サービスの一部として利用者ID管理ツールを提供している場合は、利用者ID管理ツールの仕様

経済産業省『クラウドサービス利用のための情報セキュリティマネジメントガイドライン』

このように具体的に必要な機能が明示されています。

ISO27017に書かれている「仕様」とは、「登録や削除の手順」であったり「新規登録する時や退会するときに必要な情報」であったり、「同一性検証の仕様」、つまり、どのようなログイン方式(パスワード、多要素認証など)によって利用者を判断するのかであったり、「ID管理ツール」利用している会社の管理者ユーザーが他の一般ユーザーのIDを管理する機能を意味しているのかなといったニュアンスが読み取れると思います。

ISO27017とクラウドセキュリティガイドラインの節番号が不整合なのはなぜ?

ISO27017は、クラウドセキュリティガイドラインがもとになっており、よりわかりやすさを重視していることがわかります。

ところで、なぜISO27017では「9.2.1」の節に書かれている内容が、クラウドセキュリティガイドラインには「11.2.1」の節に書かれているのか、疑問を持った方もいるのではないでしょうか。

この状況は「バージョンの違い」からおきています。

ISO27017は2013年版のISO27002という規格項番をベースに作成されていますが、クラウドセキュリティガイドラインについては、それより昔の2005年版のISO27002の規格項番を参考にして作成されています。

ISO27002は、2005年版から2013年版になるときに、章立てが変更になっているため、目次に齟齬が起きています。

クラウドセキュリティガイドラインにも記載されている気を付けるべきポイントとは

では、クラウドセキュリティガイドラインにも記載されている「クラウドサービスを安全に利用するための対策」や「安全なクラウドサービスの見極め方」の重要なポイントはどんなものがあるか紹介します。

クラウドセキュリティガイドラインには、クラウドサービス提供者や利用者が検討すべきセキュリティリスクと対策が解説されています。

  • クラウドサービスを利用する際に気をつけるべきこと
  • 事業者を選ぶ際に気を付けるべきこと

それぞれ解説します。

クラウドサービスを利用する際に気をつけるべきこと

クラウドサービスを利用する際、自社でサーバーを管理するわけではないとういうことを踏まえたうえで、どのようなセキュリティ対策やリスク対策をしているかが、セキュリティの強さに直結します。

そのため、クラウドの事業者がどのような対策をしているかはまず理解しておく必要があります。

その他「二段階認証のようなセキュリティ対策」「自社が重視している便利機能」が搭載されているかも合わせて確認しておきましょう。

より安全に、クラウドサービスを利用するために気を付けることは、目安は以下の3点です。

  • アクセス制御の管理がある
  • データを保管する国が国内
  • サポートが充実しているか確認

アクセス制御の管理がある

アクセス制御の管理が無い場合、クラウドサービスにログインする際にIDとパスワードのみでログインできてしまいます。

その状況を避けるため、二段階認証や指定されたユーザーしかアクセスできないように管理する機能は必須です。

その他、退職者に成りすまして不正アクセスを受けてしまう事例もあるため。退職者のアカウントはその都度IDを削除し、悪用されないように徹底しましょう。

データを保管する国が国内

クラウドサービスの中には、料金を安く抑えるために、海外にデータセンターを設置して、保管しているケースもあります。

ですが、海外にデータセンターを置く場合、災害へのリスク管理が弱かったり、コンプライアンスの意識が低く、セキュリティリスクが高まる危険性が考えられるので、可能であれば、データセンターが国内にあり、信頼できるクラウドサービスを選ぶことをおすすめします。

サポートが充実しているか確認

事業者によってサポート体制が異なります。

万が一、情報漏洩が起きてしまった時は、その後の素早い対応が重要です。

たとえば「不正アクセスがないか24時間365日監視している」「過去の対応で素早い対応をしている」といった、サポート体制が充実しているクラウドサービスを選びましょう。

事業者を選ぶ際に気を付けるべきこと

クラウドサービスでは、様々なサービスがあり、その機能や想定している用途は様々です。

クラウドサービスを利用する目的や、必須な機能を洗い出しておき、過不足ない自社に合ったクラウドサービスを提供する事業者を選びましょう。

また、過去に情報流出はしていないか、していた場合はその際の対応も調査しておき、このクラウドサービスは信用に値するかを見極める必要もあります。

より安全な事業者を選ぶ目安は以下の3点です。

  • データセンターが分散されている
  • ログの管理がされている
  • データ通信が暗号化(SSL化)されている

データセンターが分散されている

データセンターが1カ所しか存在しない場合、自然災害に弱くなったり、万が一サーバーの故障でデータ消去が起きてしまった際、バックアップが取れずにデータが完全に消えてしまうリスクがあります。

データセンターが分散されている事業者を選ぶのがベターです。

 ログの管理がされている

ログとは、「いつ」「誰が」「何をしたか」というコンピュータの利用履歴を記録したもので、不審なログインや、不審な操作があった場合、その原因の分析や不正アクセスの有無を判断できます。

安全性に直結するため、ログの管理がされている事業者を選ぶのが良いでしょう。

データ通信が暗号化(SSL化)されている

SSL(Secure Socket Layer)とは、インターネット上でデータを暗号化して送受信する仕組みのひとつで、セキュリティ対策に有効であり必須ともいえます。

SSL化に対応していないクラウドサービスを利用した場合、預けた情報やデータが改ざんや情報漏えいの危険があるため、避けましょう。

まとめ

クラウドセキュリティガイドラインについて解説しました。

クラウドセキュリティガイドラインは、企業がクラウドサービスへのセキュリティ対策をするうえで役に立ちます。クラウドサービスのセキュリティリスクを正しく理解し、必要な対策をして情報流出を防ぎましょう。

ISMS認証の取得をきっかけに、または継続審査のタイミングで、同時にISO27017の拡大審査を希望されるクラウドサービス提供企業/利用企業が年々増加しています。

LRMもAWS利用と「セキュリオ」の開発/運用/保守においてクラウドセキュリティ認証を取得済みです。ISO27017認証に興味を持たれましたら、まずはお気軽にLRMにご相談ください。

また、ISO27017の管理策をまとめた資料はこちら

認証取得を目指すISO27701
タイトルとURLをコピーしました