日本発のクラウドセキュリティ認証がISO 27017として発行、ISMS認証も対応（JIPDEC）

2015年12月、クラウドサービスの提供および利用のための情報セキュリティ管理策を規定した国際的なガイドライン規格「ISO/IEC 27017:2015」が発行された。一般財団法人日本情報経済社会推進協会（JIPDEC）はこれを受け、クラウドサービスのセキュリティ維持・向上を目的に、ISMS適合性評価制度においてクラウドセキュリティの認証を開始する。

●日本発祥のクラウドセキュリティ認証

JIPDECではこれに先立ち、「ISMSクラウドセキュリティ認証に関する説明会」を開催した。慶應義塾大学名誉教授であり、JIPDEC情報マネジメントシステム運営委員会委員長、特定非営利活動法人日本セキュリティ監査協会（JASA）会長である土居範久氏は、クラウドサービスが本格的に普及し、重要な情報をクラウドに保存することも珍しくなくなった現在、提供する側も利用する側もセキュリティが求められていると述べ、ISO/IEC 27017を適用したISMSクラウドセキュリティ認証は有効な指針であるとした。また、ISO/IEC 27017の原案は日本によるものであることも付け加えた。

来賓として登壇した、経済産業省商務情報政策局情報セキュリティ政策室の室長である瓜生和久氏（講演当時）は、クラウドが身近で当たり前になり、IoT社会でも大きな役目を果たすことになる。そこでクラウドのセキュリティが非常に重要になるが、日本の官民が力を合わせた取り組みが世界的に認められたことは喜ばしいこと。IoTの発展のためにも大きな第一歩であり、今後の展開を大いに祈念すると述べた。

●ISO/IEC 27017とISMSクラウドセキュリティ認証の違い

続いて、JIPDECの情報マネジメントシステム認定センターの参事である高取敏夫氏が「ISMSクラウドセキュリティ認証について」と題する講演を行った。高取氏はまず、ISO/IEC 27017:2015は「ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範を提供する国際規格。この規格は、ISO/IEC 27002に規定する指針に追加し、これを補うものである」という概要を示した。ベースはISO/IEC 27002であるが、情報セキュリティリスクの管理はISO/IEC 27001を参照することを勧めている。

またISO/IEC 27017:2015の構成では、新たに「4. クラウド分野固有の概念」が加わったことと、「附属書A クラウドサービス拡張管理策集」に約7項目が追加されている。適用範囲は「クラウドサービス提供および利用に適用できる情報セキュリティ管理策のための指針」となっており、管理策および実施の手引きはクラウドサービスプロバイダとクラウドサービスカスタマ、つまり提供者と利用者の双方に提供するものとなっている。

「追加のクラウドサービス固有の実施の手引き」では、管理策ごとに対応すべき主体がカスタマかプロバイダかが明記されている。ただし、多くが双方とも対応すべきものとなっている。また「附属書A クラウドサービス拡張管理策」では、クラウドサービスにおけるカスタマとプロバイダの関係、役割および責任の共有および分担、アクセス制御、ログ管理、運用、監視などについて付記されている。

高取氏は続いて、ISO/IEC 27017とISMSクラウドセキュリティ認証の違いについて述べた。ISMSクラウドセキュリティ認証は、あくまでもISMS（ISO/IEC 27001）を拡張したものという位置づけで、ISO/IEC 27002は情報セキュリティ管理策の実践のための規範としている。対象は同じくカスタマとプロバイダの双方であり、適用範囲は組織が決定し文書化することを求めている。また、「ISO/IEC 27017の規格に沿ったクラウド情報セキュリティ対策の実施」を基本的要件に加えた。これは内部監査についても同様となる。

今後のスケジュールは、JIPDECホームページ等を通じて広報を実施し、ISMSクラウドセキュリティ認証の要件、ガイドライン等を整備、2016年夏を目途に適合性評価を開始するとした。

●ISMSクラウドセキュリティ認証取得の実際

JIPDECのISMS技術専門部会の主査であり、株式会社アズジェントのセキュリティプラスラボのシニアフェローである駒瀬彰彦氏は、「ISO/IEC 27017:2015に基づくクラウドセキュリティの構築のポイント」と題する講演を行った。駒瀬氏はまず、ISMSクラウドセキュリティ認証取得にあたり順守しなければならない要求事項について説明した。これは、同認証に関する要求事項（文書番号:JIP-ISMS517-1.0draft[4月26日版]）に記載されている4章の基本的要件（現：要求事項）のことで、これは「適用範囲」「ISO/IEC 27017の規格に沿ったクラウド情報セキュリティ対策の実施（情報セキュリティリスクアセスメント、情報セキュリティリスク対応）」「内部監査」の3つに大別できる。

適用範囲は高取氏の説明にあった通りだが、クラウドサービスプロバイダが別のクラウドサービスを利用してサービスを提供している場合は、プロバイダとカスタマの両方を適用範囲とする必要があるので注意が必要とした。また範囲はJIS Q 27001認証を前提としているため、ISMSクラウドセキュリティ認証の適用範囲をJIS Q 27001の範囲の一部とするか、JIS Q 27001の範囲と同一にするかを選ぶことができる。

逆に言えばJIS Q 27001認証を取得していないクラウドサービスで、いきなりISMSクラウドセキュリティ認証を取得することはできないということだ。また駒瀬氏は「あくまで私見」と前置きした上で、取得のタイミングについて説明した。一般的には、ISMSの更新審査の過程で取得するケースが多くなると思われる。しかし、それでは来年になってしまう可能性もあるので、たとえばISMSクラウドセキュリティ認証を日本で最初に取りたい場合は、ISMSの拡張審査を利用する方法もあるとヒントを示した。

続いてセキュリティ対策の実施であるが、これらについてはクラウド固有のリスクへの理解がないとわかりづらいと駒瀬氏は指摘した。基本的要件には、「要求事項の項番」「タイトル」「JIS Q 27001の項番（箇条）のどこに相当する追加要求なのかの記載」「詳細」となっており、関連する参考項目も記載されているが、「4.2.1 情報セキュリティリスクアセスメント」の参考項目「A.3 1」を参照してもクラウド固有のリスクがわからない。

これはISO/IEC 27017が管理策のガイドラインであるためで、附属書Bにある「ITU-T 勧告 X.1601 に基づくクラウドコンピューティングに対するセキュリティの枠組み」の脅威についての解説や、ENISA（欧州ネットワーク情報セキュリティ機関）によるリスク評価基準を活用する方法を参照する必要がある。さらに、組織関連リスク、技術関連リスク、法的リスクについても言及した。特に、技術関連リスクに含まれる仮想化環境におけるリスクについては正しく理解する必要があるとした。

適用宣言書については、参考項目「A.4」を参照する。内部監査はISMSの一般的な内部監査に加え、クラウドに必要な監査が求められる。たとえば、クラウドプロバイダでは「提供する環境での対策の有効性確認」、水準では「利用者が求める水準（公正さ、クラウドの知識）」、基準では「クラウドに特化した情報セキュリティ基準」が求められるといった具合だ。駒瀬氏は最後に、JIPDECが発刊している参考情報を紹介し、ISMSクラウドセキュリティ認証についてのユーザーズガイドも発行も検討予定であるとした。