ISMS認証を目指す方々の中には、クラウドサービスの利用に関して不安を抱く方も多くいらっしゃいますが、結論から書くとISMS認証取得の際にクラウドサービスを利用していても、問題なく認証を取得できます。ただし、ISMSの厳しい審査を通過するには、社内の要求に応えるサービスであることが重要です。この記事では、ISMS認証を取得する企業に向けて、クラウドサービスに関する認証のISO/IEC 27017の概要とともに、クラウドストレージのセキュリティで確認すべきポイントをまとめました。
クラウドストレージのリスクをどう回避するか
ISMS認証取得にあたっては、社内のデータを外部に保存することによるリスクを回避する必要があります。したがって、クラウドストレージに関して、以下のような項目を重点的に確認します。
- 国内にサーバを設置してデータを保管していること
- マルウェアの対策がされていること
- バックアップを取得していること
- 通信が暗号化されていること
- インシデント発生時に情報が提供されること
- 運用時に内部監査を行っていること
- ログ情報の閲覧・編集制限などの保護がされていること
- 解約時のデータの取り扱いが明確になっていること など
このときISMS認証済みのクラウドストレージであれば安心です。ISMSには、ISO/IEC 27001のほかにクラウドサービスの認証であるISO/IEC 27017があります。ではISO/IEC 27017とは、どのような認証でしょうか。
クラウドサービスのISMS、ISO/IEC 27017とは?
ISO/IEC 27017は「クラウドサービスに関する情報セキュリティ管理策のガイドライン規格」です。ISO/IEC 27017単体では認証を取得できないことから、ISO/IEC 27001の取得を前提として、クラウドサービスの管理体制を強化した認証になります。あらゆる企業でクラウドサービスの利用が拡大および浸透している現在、ISO/IEC 27001自体も時代に合わせて改訂が行われました。日本発のガイドラインから国際基準として定められた認証がISO/IEC 27017です。
ISO/IEC 27017では、クラウドサービスを提供するプロバイダ(CSP)だけでなく、クラウドサービスの利用者(カスタマ、CSC)も対象としています。適切に利用する組織体制の確立を目指し、クラウドサービスのリスクを低減させる目的があります。
ISO/IEC 27017における管理策とクラウドストレージ
ISO/IEC 27017で求められている7つの管理策を踏まえた上で、具体的にクラウドストレージの例を挙げながら、セキュリティ管理で注意すべき要点を解説します。
役割や責任の明確化、分離をすること
クラウドストレージによって提供されるサービス内容を明確にして、自社の従業員に伝達して情報を共有します。サービスを提供するプロバイダ側と利用者側において、役割と責任を分離することが重要です。それぞれ責任者を明確にするとよいでしょう。
たとえばバックアップがどのような周期で行われるかについて、従業員が「聞いていなかった、知らなかった」という状態は問題になります。特に仕様変更があった場合には、注意が必要です。従業員自身がサービス内容を知り、それぞれの責任の範囲を明確にします。
退会時のデータ削除
クラウドストレージのサービスを退会したとき、データの完全な除去を行わずに、そのままデータが残されていると情報漏洩などの問題に発展する可能性があります。どのタイミングでデータが除去されるのか、プロバイダ側と利用者側の合意が必要です。データベースや文書はもちろん、セミナーの動画などのコンテンツをすべて除去するとともに、ログの削除についても合意をしておきます。
利用者の論理的な分離
クラウドストレージ上では複数の企業が利用しています。論理的な分離とは、クラウドストレージ上で自社のデータに他社がアクセスできない状態をいいます。サーバ自体を別に設置する物理的な分離ではないことから、脆弱性のリスクがないとはいえません。サイバー攻撃の対策が十分に行われていることが求められます。社内の環境とクラウド環境を必要に合わせて分離することも重要になります。
仮想マシンの要塞化による強固なセキュリティ
仮想化とは、コンピュータのリソースを有効活用する技術です。仮想化されたマシンに対する悪意のあるアクセスを防ぐために、ハードウェアからOSやソフトウェアまで、あらゆる脆弱性を特定して攻撃される箇所を削減します。これが「仮想マシンの要塞化」です。
特にクラウドサービスプロバイダが自社のサーバで運用している場合に重要になります。インフラストラクチャーの面からも、サーバの不要なサービスを停止するといったセキュリティ強化が求められます。
運用におけるヒューマンエラーの防止
誤った操作によってクラウドストレージ上のデータが消失してしまう事態がないように、マニュアルや手順書を確認します。マニュアルはバージョンアップや機能追加に合わせて、最新の状態に更新および使いやすく整備されていることが重要です。古い手順がそのまま残っていたり、新しい機能が解説されていなかったり、ドキュメントに不備がある状態は問題が生じる可能性があります。
仮想ネットワークと物理ネットワークの整合性
自社のデータセンター上でクラウドサービスを構築している場合、仮想サーバと物理的な機器の整合性が十分ではないと、パフォーマンスを発揮できないことがあります。AWSなどのIaaSやPaaSを利用して、サービスが最適化されていれば安心して利用できます。
クラウドストレージを利用するときには容量や機能に注目しがちですが、どのようなインフラストラクチャーで運用されているかという観点も重要といえるでしょう。
ISO/IEC 27017認証済みクラウドサービスなら安心
ここまでISO/IEC 27017の管理策を参考に、クラウドストレージのチェックポイントを解説しました。使い慣れたクラウドサービスが要件を満たしているか、あらためて確認することが必要です。
ISO/IEC 27017認証済みのサービスであれば、こうした管理策を徹底していることから基準を満たしています。ISMS認証取得を目指すのであれば、ISO/IEC 27017認証済みのサービスを利用することにより、取得に向けてスムーズに準備を進められます。また、自治体の入札では、ISO/IEC 27017の認証取得済みを要件にしている場合があります。自社の事業内容などによっては、ISO/IEC 27001に加えて、さらなるセキュリティ強化を行うとよいでしょう。
ISMS認証取得に向けてクラウドストレージはFleekdriveを使おう
Fleekdriveは、ISO/IEC 27001に加えてISO/IEC 27017の認証を取得しているクラウドストレージです。AWSを基盤として構築されているため、高可用性があり、ISMSの認証取得の要求に応えるセキュリティ機能を備えています。たとえば監査のための利用者の証跡機能では、ログを5年間保存することができます。
セキュリティ面の信頼性に加えて、Fleekdriveには業務の効率化、コラボレーションを促進するなど、さまざまな機能があります。資料を参考に検討してみてはいかがでしょうか。
資料のダウンロードはこちら
