ISMS(ISO 27001)認証取得を目指す企業にとって、クラウドストレージのセキュリティ要件への対応は避けて通れない課題です。審査機関は「現在利用中のクラウドサービスが管理策を満たしているか」を具体的な証跡をもとに確認します。しかし、ISO 27001附属書AやISO 27017の管理策番号を見ても、実務で何を準備すればよいか分からず、審査直前に慌てるケースが少なくありません。

本記事では、ISMS審査で実際にチェックされるクラウドストレージのセキュリティ要件を7つのカテゴリに整理し、各要件で求められる証跡と準備すべき対応策を具体的に解説します。

ISO 27001/27017で押さえるクラウド証跡の前提

ISMS認証取得では、情報セキュリティ管理の国際規格であるISO 27001への適合が求められます。ISO 27001:2022の附属書Aには93項目の管理策が定義されており、組織はリスクアセスメントの結果に基づいて適用する管理策を選定します。

クラウドサービスを利用する場合、ISO 27017という追加のガイドラインが重要になります。ISO 27017は、クラウドサービス特有のセキュリティ管理策を定めた規格で、クラウドサービスプロバイダ(CSP)とクラウドサービスカスタマ(CSC)の責任分界を明確にする考え方を示しています。

審査では、自社が利用するクラウドストレージについて「どの管理策をベンダーが実施し、どの管理策を自社が実施するのか」を明確に説明できる必要があります。この責任分界が曖昧なまま審査を受けると、「管理策の実施責任が不明確」として不適合指摘を受けるリスクが高まります。

審査で確認される7つのクラウド証跡ポイント

ISMS審査でクラウドストレージに関して確認される要件を、実務で押さえやすい7つの観点に整理します。各項目で求められる証跡と対応を把握しておくと、審査準備の優先順位をつけやすくなります。

1. データの保管場所と法令遵守

審査で見られるポイント
自社データがどの国・地域のデータセンターに保管されているかを把握し、その保管場所が個人情報保護法や業界固有の規制に適合しているかが確認されます。

残すべき証跡

  • クラウドベンダーとの契約書におけるデータ保管場所の明記
  • ベンダーから提供されるデータセンター所在地やコンプライアンスに関する文書
  • 自社のリスクアセスメント文書における法令適合性の評価記録

実務での対応
ベンダー選定時にデータ保管場所を確認し、必要に応じて契約書に明記します。海外データセンターを利用する場合は、関連法令への対応状況も文書で確認しておく必要があります。

2. アクセス制御と権限管理

審査で見られるポイント
情報資産へのアクセスを業務上必要な範囲に限定し、過剰な権限付与がないよう管理できているかが確認されます。

残すべき証跡

  • アクセス権限一覧表
  • アクセス権限の付与・変更・削除に関する申請承認フロー文書
  • 定期的な権限棚卸しの実施記録
  • 特権ユーザーのリストと承認記録

実務での対応
管理画面から出力できる権限レポートを定期的に確認し、退職者や異動者の権限削除漏れがないかを点検します。外部共有のルールも社内規程に明記しておくと、審査時に説明しやすくなります。

アクセス管理の詳細についてはこちら:https://www.fleekdrive.com/blog/archive/column33/ 

3. データ暗号化とデータ保護

審査で見られるポイント
機密情報の保管時と通信時の両方で、暗号化が適切に実装されているかが確認されます。

残すべき証跡

  • ベンダーが提供する暗号化仕様書
  • SSL/TLS通信の実装証明
  • 暗号化されたデータのバックアップ取得方法とリストア手順書
  • 暗号鍵の管理責任者と管理手順を定めた社内規程

実務での対応
暗号化の有無だけでなく、暗号化方式や鍵管理の考え方まで説明できるよう、技術仕様書を取得して整理しておくことが重要です。

データ暗号化の重要性についてはこちら:https://www.fleekdrive.com/blog/archive/security26/

4. ログ管理と監査証跡

審査で見られるポイント
誰が、いつ、どのファイルに、何をしたかを追跡できるよう、ログを取得・保存・保護しているかが確認されます。

残すべき証跡

  • 監査ログの取得範囲を定めた社内規程
  • ログの保存期間を定めた規程
  • ログレビューや異常検知の実施記録
  • ログの改ざん防止措置に関する記録

実務での対応
監査ログ機能の範囲を確認し、不足があれば補完策を検討します。審査では、ログを取得しているだけでなく、定期的に確認している記録があることが重要です。

5. バックアップとデータ復旧

審査で見られるポイント
重要データを定期的にバックアップし、必要時に復旧できる体制が整っているかが確認されます。

残すべき証跡

  • バックアップ方針を定めた社内規程
  • ベンダーから提供されるバックアップSLA
  • データリストアテストの実施記録
  • データ消失時の復旧手順書

実務での対応
どの時点まで復元できるか、どの程度の時間で復旧できるかを整理し、実際に復旧テストを行った記録を残しておくことが重要です。

6. インシデント対応とセキュリティ報告

審査で見られるポイント
不正アクセスや情報漏洩が疑われる事象が発生した際に、初動対応から報告までの流れが整理されているかが確認されます。

残すべき証跡

  • インシデント対応手順書
  • ベンダーとのインシデント通知に関する契約条項
  • 過去の対応記録
  • インシデント対応訓練の実施記録

実務での対応
ベンダーからの通知を受けた際の社内エスカレーションフローを整備し、手順書だけでなく訓練や実対応の記録も残しておく必要があります。

7. ベンダー管理とSLA

審査で見られるポイント
ベンダーに求めるセキュリティ水準を契約で明確にし、継続的に確認できているかが確認されます。

残すべき証跡

  • 契約書におけるセキュリティ条項
  • ベンダーの認証取得状況の確認記録
  • 定期的なセキュリティ評価の実施記録
  • ベンダー変更時のデータ移行手順書とデータ削除証明書

実務での対応
ベンダーの認証取得状況だけでなく、自社要件に照らして選定した根拠も説明できるようにしておきます。契約条項と評価記録をあわせて残しておくと、審査で示しやすくなります。

役割分担を踏まえた証跡準備の実務

クラウドサービスでは、セキュリティ管理の責任がベンダーと利用企業で分担される「共有責任モデル」が適用されます。審査では、この役割分担を理解し、自社が担う管理責任について適切な証跡を整備していることが求められます。

ベンダー責任範囲(CSPが実施)

  • 物理的なデータセンターのセキュリティ(入退室管理、防災設備など)
  • インフラストラクチャの冗長化と可用性確保
  • 基盤ソフトウェアの脆弱性対応とパッチ適用
  • 保管データの暗号化基盤の提供

自社責任範囲(CSCが実施)

  • アクセス権限の適切な設定と定期見直し
  • ユーザーアカウントの管理(パスワードポリシー、多要素認証の設定など)
  • 保管するデータの分類と機密性レベルの管理
  • ログの定期的なレビューと異常検知

ベンダーに要求すべき文書リスト

  • データセンター所在地証明書
  • セキュリティ認証取得証明書(ISO 27001、SOC 2 Type IIなど)
  • 暗号化仕様書(アルゴリズム、鍵長、鍵管理方式)
  • バックアップ仕様とSLA文書
  • インシデント通知に関する契約条項

自社で整備すべき社内規程・記録

  • クラウドストレージ利用規程(利用目的、禁止事項、外部共有ルール)
  • アクセス権限管理規程(付与・変更・削除の承認フロー)
  • データ分類基準とクラウド保管可否の判断基準
  • ログレビュー実施記録(月次または四半期ごとの定期確認記録)
  • リスクアセスメント文書(クラウド利用に伴うリスク評価と対策)

審査では、これらの文書を提示するだけでなく、「規程通りに運用されている」ことを証明する運用記録が必要です。例えば、アクセス権限管理規程があっても、実際に承認記録が残っていなければ不適合と判断されます。

審査でよくある指摘事項と対策

ISMS審査でクラウドストレージに関して指摘されやすい事項と、その対策を整理します。

指摘1:責任分界が不明確

ベンダーと自社の管理責任が曖昧で、「誰が何を管理するのか」を説明できないケース。対策として、契約書に責任分界を明記し、ベンダーから「セキュリティ責任共有モデル」文書を取得して、自社のリスク管理文書に反映させます。

指摘2:ログ取得はしているがレビューしていない

監査ログの取得設定はあるものの、定期的なレビュー記録がなく、異常検知体制が機能していないケース。対策として、月次または四半期ごとのログレビュー日を社内カレンダーに登録し、レビュー結果報告書を作成して責任者の承認を取得します。

指摘3:退職者のアクセス権限削除漏れ

人事異動や退職に伴うアクセス権限の削除が遅延し、不要なアカウントが残存しているケース。対策として、人事部門とIT部門の連携フローを整備し、退職日の翌営業日までに全権限を削除するルールを規程化します。

指摘4:外部共有リンクの管理不足

外部共有リンクの発行ルールがなく、誰が・いつ・誰に対して共有したかの記録がないケース。対策として、外部共有は必ず承認申請を経由させ、共有リンクの有効期限を設定し、定期的に共有リンク一覧を棚卸しして不要なリンクを削除します。

指摘5:復旧テストの未実施

バックアップ設定はあるものの、実際にデータを復旧できるか検証していないケース。対策として、復旧テストを計画に組み込み、テスト結果報告書を作成して復旧手順書の実効性を証明します。

まとめ:審査準備の次のアクション

ISMS審査でクラウドストレージのセキュリティ要件に対応するためには、ISO 27001/27017の管理策を自社の利用実態に合わせて具体化し、ベンダーと自社の責任分界を明確にした上で、必要な証跡を計画的に整備することが不可欠です。

審査準備として最初に取り組むべきは、現在利用中のクラウドストレージについて「7つのセキュリティ要件カテゴリ」の充足状況を棚卸しすることです。不足している証跡があれば、ベンダーに文書提供を依頼するか、自社の社内規程・運用記録の整備を開始します。特に、アクセス権限の定期見直しとログレビューは、短期間で実施記録を蓄積できるため、審査の3〜6か月前から計画的に実施することで、審査時に「継続的に運用されている」ことを証明できます。

クラウド証跡の整備に不安がある場合は、ベンダーから取得できる文書と自社で残すべき運用記録を切り分け、優先順位をつけて整備を進めることが重要です。審査をクリアするだけでなく、実効性のある情報セキュリティ管理体制を構築することで、取引先からの信頼獲得と自社の情報資産保護を両立させることが可能になります。

クラウドストレージ選定時のセキュリティチェック項目についてはこちら:https://www.fleekdrive.com/blog/archive/security29/