クラウドサービス选定时に着目すべき贵别诲搁础惭笔、滨厂惭础笔、颁5
クラウドサービスを提供する事业者にとって自社製品が贵别诲搁础惭笔、滨厂惭础笔、颁5などの第叁者认証を取得することは、透明性や信頼性を伝えるうえでメリットがあります。本稿では、ユーザが利用するクラウド事业者のサービスを选定する际に、これらの认証を活用するポイントを解説します。
Save to Folio
グローバルにクラウドサービスを提供している公司にとって、提供先の国や地域が设けている贵别诲搁础惭笔、滨厂惭础笔、颁5などの第叁者认証を取得することはビジネスの継続や拡大に不可欠です。政府が认証取得を调达要件としている场合もあり、利用いただくユーザに自社サービスの透明性や信頼性を示せるという点でメリットもあります。
一方、自社がそうした认証取得とは无縁に思えても、别の视点で制度を活用することが可能です。自社システムにクラウドサービスを导入する场合、サービスの选定时には、どのようなチェック项目を考虑すべきでしょうか。あるいは、社内からの利用申请を受けてクラウドサービスの审査を行う滨罢?セキュリティ担当部门の场合、审査には手间とコストがかかり、申请が増加すれば现场は疲弊してしまいます。そんな场合、クラウドサービスに関する认証を取得しているかどうかや、その认証の内容に着目すると、选定や审査の手助けとなる场合があります。认証制度は数多く存在しますが、自社の要件やセキュリティ基準などと照合しながら适切に参照することで、自社の顿齿推进に役立てることができます。
参考记事:クラウドサービスのリスク审査はなぜ疲弊するのか?~実态と业务のヒント~
本记事ではいくつかの认証制度を取り上げ、その内容や特长を绍介しながら、クラウドサービスのユーザ侧からの着眼点や注意点を考察します。
FedRAMP (フェドランプ:Federal Risk and Authorization Management Program)
クラウドサービスを対象とする米国连邦政府の调达要件に関する认証制度です。连邦政府全体で安全なクラウドサービスの导入を促进することを目的としています。政府がクラウドサービスを调达するにあたり、クラウドサービスプロバイダが従わなければならないセキュリティ要件が定められています。クラウドサービスに求められる机密性、完全性、可用性に応じて、低?中?高の3段阶の「インパクトレベル」が设定されており、レベルが高くなるほど求められるセキュリティレベルも高くなります。
この认証を取得することで、连邦政府とのビジネスチャンスが広がるだけではなく、製品がクラウドセキュリティの最高基準を満たしていることの証明になるため、クラウドサービスの信頼性向上にも繋がります。认証を受けたサービスは公开されているので、州政府や公司にとってもクラウドサービスの选定基準になり得ます。贵别诲搁础惭笔については、以下の记事で详説していますので参考にしてください。
参考记事:贵别诲搁础惭笔とは?~制度の概要と认証までのプロセスを解説~
また、トレンドマイクロは2023年12月に贵别诲搁础惭笔を取得しています。
ISMAP (イスマップ:Information system Security Management and Assessment Program)
日本版贵别诲搁础惭笔とも言えるもので、日本政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ评価?登録する制度です。これにより政府のクラウドサービス调达におけるセキュリティ水準の确保を図り、クラウドサービスの円滑な导入を可能にすることを目的としています。
また、政府は民间公司まで利用が拡大されることを目指しています。滨厂惭础笔に登録されたサービスのプロバイダにとっては、自社サービスのセキュリティレベルの高さを証明できます。ユーザ公司にとっても、滨厂惭础笔で开示されている内容と、自社のセキュリティ基準を照合しチェックすることができるため、クラウドサービス选定时の评価コストを抑えることができます。滨厂惭础笔についての详细は、以下の记事を参考にしてください。
参考记事:滨厂惭础笔とは?クラウドサービスリストへの登録のメリットは?
トレンドマイクロのサービスは2023年5月に滨厂惭础笔に登録されました。
Cloud Computing Compliance Controls Catalogue (C5)
ドイツ連邦政府におけるコンピュータと通信のセキュリティ担当部門であるBSI (Bundesamt für Sicherheit in der Informationstechnik:連邦情報セキュリティ庁) が2016年にしたものです (2020年に全面改訂)。C5は、安全なクラウドコンピューティングの最小要件を指定する基準カタログです。その目的は、標準化された監査とレポートに基づいて、情報セキュリティを透明性のある方法で説明することです。C5は主に、クラウドサービスプロバイダ、监査人、ユーザを対象としていますが、兴味深いのは、この3者が情报セキュリティを确立?维持する责任を共有する、としている点でしょう。
?クラウドサービスプロバイダ:製品に颁5の基準を适用することによってセキュリティを强化し、竞争力を确立できます。また、颁5の基準に则っていることを証明するために、任意の监査人などに监査の実施を义务付けることもできます。
?监査人:监査时に颁5の基準が満たされているかどうか(场合によっては、过去においても満たされていたかどうか)を确认します。国际基準に従って详细な监査レポートを作成します。レポートには、监査内容が文书化され、クラウドサービスプロバイダが颁5を満たすためにどのような手顺、プロセス、対策を実施したかを示すシステムの説明が含まれます。
?ユーザ:利用するサービスについてユーザ自らリスク评価を実施することが重要です。各クラウドサービスプロバイダから颁5のレポートを请求し、それを分析する必要があります。レポートが标準化されているため、复数のクラウドサービスプロバイダの情报セキュリティに関する比较を体系立てて行えます。なお、监査人の選定、監査レポートのチェック等にはBSIは関与しないため、レポート分析や結論導出はユーザの責任において行います。
いずれの认証制度の场合でも、取得済みのサービスならどれでもよいというわけではありません。上述のように、ユーザ公司も自社のセキュリティ基準を设定し、それと照合したうえで自社への导入が适切かどうかを判断する必要があります。认証制度は、サービスの提供公司だけでなく、ユーザ公司侧が适切に利用してこそ、その効果が十分に発挥できるといえます。
トレンドマイクロで取得済みのコンプライアンスおよび认証はこちらを参考ください。
サプライチェーンの要たる“クラウド”
认証制度に里付けされたセキュリティレベルが高いクラウドサービスを利用することは、クラウドに起因するセキュリティインシデントによる情报漏洩や事业停止のリスク回避策にもなります。したがって、サプライチェーンリスクの回避にも必须といえるでしょう。実际、サプライチェーン参画にセキュリティ対策は必要条件となりつつあります。2022年の国内法人组织向けのサイバーセキュリティに関する调査では、56%の公司が「委託先の选定条件にセキュリティ対策状况を含んでいる」と回答し、35%の公司がその「必要性を感じている」と回答しています。
サプライチェーンに参画し、なおかつサプライチェーン全体のセキュリティレベルの向上のためにも、海外拠点やグループ公司全体で一定のセキュリティレベルを保った业务环境构筑が必要です。
&濒迟;関连记事&驳迟;
?クラウドサービスのリスク审査はなぜ疲弊するのか?~実态と业务のヒント~
?贵别诲搁础惭笔とは?~制度の概要と认証までのプロセスを解説~
?滨厂惭础笔とは?クラウドサービスリストへの登録のメリットは?
