前回は、クラウドサービスのセキュリティの評価制度ISMAPとはどのようなものか、その動向を含めて紹介した。クラウドサービス事業者がクラウドサービスをISMAPに登録するには、ISMAP管理基準に準拠する必要があるが、今回の記事では、ISMAP管理基準の概要と、クラウドサービス事業者が、まず行うべき事項について説明する。
ISMAP管理基準 クラウドサービス事業者向け規程
ISMAP管理基準は、以下に示す通り、ガバナンス基準、マネジメント基準、管理策基準の3部から構成される。
ISMAP管理基準の構成
ISMAPは、クラウドサービス単位のセキュリティ評価制度であり、当該クラウドサービスにおける管理策は管理策基準に規定されている。ただし、それ以前にセキュリティを確保するための前提としてクラウドサービスを提供する事業者としては情報セキュリティガバナンスを、組織として情報セキュリティマネジメントを適切に整備・運用していることが必須であり、そのために、ガバナンス基準とマネジメント基準を規定している。
情報セキュリティガバナンスとは、経営層が、事業者として情報セキュリティに関する統制を効かせられるようにするためのプロセス・仕組みを整備・運用することであり、ガバナンス基準ではそのための要件を規定している。そして、組織内に情報セキュリティを構築、運用、維持、改善するための仕組みとして、情報セキュリティマネジメントを導入する必要があり、マネジメント基準では、そのための要件を規定している。
対象クラウドサービスをISMAPに登録するためには、事業者としてのセキュリティへの取り組みが必須である。その上で、対象クラウドサービスにおいて、利用用途や取り扱う情報、必要とするセキュリティレベルなどに従い、個々のセキュリティ管理策や機能を整備・運用する必要がある。この個々の管理策を規定しているのが管理策基準である。
ISMAP登録は総力戦
クラウドサービスにおいて、適切なセキュリティ管理策・機能を実施しているのはクラウドサービス部門の開発者・運用者だが、彼らだけでISMAP登録の準備を行うのは難しい。情報セキュリティガバナンスやマネジメントは、事業者または組織としての取り組みであり、例えば経営層による情報セキュリティへの統制は、経営会議などの全社的な会議体、あるいは社長室や経営企画部などを通じて行われることが多い。
また、マネジメント活動は、情報セキュリティ委員会や情報セキュリティ部などの自社のセキュリティを管理する部門が主管し、情報セキュリティ教育や監査などを総務・人事部・監査室などの専門部署と連携し、実施していることが多い。
これらの組織が展開する活動や施策は、事業者内の一部門として、クラウドサービス部門にも適用される。ISMAP登録する際には、当該活動・施策の主管部門からクラウドサービス部門に適用されるルールやクラウドサービス部門に対し実施された記録などを主管部門から取得し、ISMAP用の監査証跡などに利用できるようにする必要がある。
また、クラウドサービスにおけるセキュリティ対策・機能は、クラウドサービス部門が自ら整備・運用しているものも多いが、社のセキュリティ対策の一つとして他部門が主管しているものある。セキュリティ対策には、クラウドサービス特有の対策・機能の他に、一般的な対策、例えば、物理的な対策、組織的・人的な対策やネットワーク・システムに関する基本的な対策なども含んでおり、これらは、総務・人事部、情報システム部門やIT部門などが主管していることも多い。後者については、他部門が主管する対策をクラウドサービスに適用している立場になるため、ルールや実施記録などは他部門が管理していると想定される。
このような理由から、ISMAP登録対象のクラウドサービスを提供するクラウドサービス部門が、自身で対象クラウドサービスに必要となる各管理策・機能を整備、運用することはもちろん必須だが、協力が必要な他部門や役割・責任者を把握・整理し、これらの複数部門と協力体制を築いた上で、登録準備を進めることも重要である。
※次回はクラウドサービス事業者向け管理策
■
執筆者プロフィール
中田美佐(ナカダ ミサ)
NTTテクノクロス セキュアシステム事業部 アーキテクト
各社に対するセキュリティの整備、構築、運用コンサルティングに従事。「JASA-クラウドセキュリティ推進協議会」の主要ワーキンググループメンバーとしても活動している。
