ISMSクラウドセキュリティ認証（ISO27017認証）では、その適用範囲に「対象となるクラウドサービスの名称を含める」ことが要求されています。

例えば、自社が提供する「Aサービス」というクラウドサービスで認証を取得した場合、JIPDECのISMSクラウドセキュリティ認証取得組織検索には、「Aサービス」の名称が記載されますし、審査機関から受取る認証書にも、「Aサービス」という名前が、しっかり表示されることになります。

そのため、本来はサービスに付与される認証ではないのですが、サービスの安全性を訴求する目的では、ISMS認証よりも効果的に利用できるとも考えられます。

ところで、適用範囲にサービス名が入る場合、そのサービスが「変わった」場合の手続きは、どうなるのでしょうか。

一概に「サービスが変わった」といっても、様々な変化がありますので、考えられる変化を順に見ていきたいと思います。

サービスの名称を変更した場合

もし、単純なサービス名の変更だけであれば、セキュリティの状況（例えば、バックアップの頻度や暗号化の状況など）が変わるわけではないですので、追加の審査などは基本的には発生しないと考えていただいて構いません。

ただ、「サービス名称を変更する」となると、それはすなわち「ISMSクラウドセキュリティ認証の認証範囲が変わる」ことになるため、そのための手続きが必要となります。具体的な手続きは審査機関によって異なってきますが、書類の再提出や、認証書の再発行などが考えられます。

具体的なアクションとしては、名称の変更だけであれば、1年に1回ある継続審査や再認証審査において、審査機関とコンタクトを取る際に、一言伝えるだけで十分でしょう。

サービスに新機能が追加された場合

こちらは、なかなか一概には言い切れません。

微々たる機能の追加であれば、追加の審査は不要なケースが多いです。

しかし、「大きな」機能の追加や変更があった場合は、対象サービスのセキュリティ状況に変化をもたらす可能性が大きくなります。そのため、審査機関に一度連絡してみることをお奨めします。

「大きな」変化の基準を一概に伝えることは出来ませんが、審査機関の判断によっては、追加の審査が発生するケースも考えられます。

サービスのインフラ（サーバ、ネットワークなど）を変更した場合

こちらも、新機能が追加された場合と考え方は同様です。

例えば、クラウドサービスで利用しているハードウェアの入れ替えなど、既存のセキュリティ環境に大きな変更を及ぼさないケースであれば、追加の審査は不要と考えられることが多いです。

ただ、インフラ環境の抜本的な見直し、例えば、利用しているIaaSのサービスをAWSからGCPに乗り換える、などのケースでは、セキュリティ状況が大きく変化しますので、追加審査となる可能性があります。

このケースでも、いずれにせよ、審査機関に連絡してみるのが無難です。

おわりに

さて、さまざまなサービスの「変更」と、それに伴う手続きについて、ご紹介しました。

ISMSクラウドセキュリティ認証制度がまだまだ未熟なこともあり、このような「変更」があった場合の対応は、審査機関の間でもバラバラな対応が取られるケースもあります。

そのため、一概に「XXという変更があった場合はXXする」と、バシッと言い切れないのが、正直なところです。

ただ、サービスの変更により、別途、追加の審査を受ける可能性が大きくなってしまうことは確かです。

そのため、もしISMSクラウドセキュリティ認証の取得を考えていらっしゃる組織で、近々サービスに大きな「変更」が予定されている場合は、それも加味して、認証取得時期を検討するのが賢明な考え方です。

認証をとった直後に「変更」が加わると、場合によっては、再度審査が必要となり、ドタバタしてしまう可能性があるからです。