ISMS認証取得企業がクラウドサービスを導入したら~ISO27001、27002ではクラウドに対応できない!?~

この記事は約6分で読めます。

近年、クラウドセキュリティ規格のISO27017が話題となっていることは知っているけれど、あまりISO27017ってピンとこない、よくわからないという方、たくさんいらっしゃると思います。

そこで今回は、ISO27017が何故重要なのか、クラウド全盛のこの時代において、いままでのISMSでは何がダメなのか、と言った内容を、例え話とともに紹介したいと思います。

以下では、あるA社という会社を例にして、説明を進めていきます。

A社のこれまでの取り組み

A社は、最近自社のファイルサーバを、B社のクラウドストレージサービスに移行しようとしています。

A社は、今まで業務で利用する情報は全てファイルサーバに保管していました。また、A社はISMS認証を取得しており、PDCAサイクルを回す中で、ファイルサーバのセキュリティも徐々に向上させていました。

例えば、もしファイルサーバのデータが急に破損してしまっても大丈夫なように、毎日バックアップを取得していました。また、ファイルサーバで不正な操作(データの消去やコピーなど)が行われていないかどうかを確認するために、ファイルへのアクセスログを取得していました。

アクセスログの量は膨大になるため、定期的なログの見直しは実施していませんでしたが、例えばデータがUSBメモリに移動されたり、「マイナンバ―」という文字を含んだファイルにアクセスがあったりしたときには、情報セキュリティ管理者に、アラートメールが届く仕組みになっていました。

まとめると、A社は、ISMSの仕組みに従って、データの喪失というリスクに対して「バックアップ」という管理策が、データの盗難・不正な閲覧というリスクに対して「ログの取得、アラートメールの発報」という管理策が実施されており、いずれもリスクを適切に管理することに成功していました。

しかし、A社は最近、この社内のファイルサーバをクラウドに移行したいと考えています。

クラウドは便利だけど、導入には様々な障害が…

A社がファイルサーバをクラウドに移行したい理由として、本業が忙しくなったことにより、担当者が社内システムに時間を裂くことができなくなったこと、クラウドサービスのサービス利用価格が徐々に低下してきたこと、いままでは「クラウドは怖いから危険だ」などと言っていた上長や経営陣の態度が少しずつ変わってきたことなどが挙げられます。

ところで、A社がクラウドサービスを導入するためには、超えなければいけない壁がいくつもあります。それは、従業者へ新しいサービスの利用方法を周知することであったり、今までのファイルサーバにあるデータを移管することであったりと…担当者の悩みの種は付きないのですが、ここでは「情報セキュリティ」の課題について見ていくことにしましょう。

A社がB社のクラウドサービスを利用することで、A社は、今までA社が所有していたデータを、外部のB社に預けることになります。そのため、最悪なケースを想定するならば、B社の従業員が勝手にA社の情報をコピーして、持ち出してしまうというリスクも生じ得ることになります。

いままでA社は、自社のシステムのセキュリティリスクを、ISMSの枠組みを利用して適切に管理してきました。
しかし、情報をB社に預けてしまった以上、A社の情報セキュリティマネジメントは、B社がA社の情報をどう管理しているかに依存することになってしまったのです。そうすると、A社はISMSを適切に維持するため、B社を質問攻めすることになります。

例えば以下のように

  • 預けている情報のバックアップってちゃんと取得できてるの?
  • 預けている情報のアクセスログってきちんと取ってる?御社の従業員が不正アクセスしたりしない?

このような質問をして回答を得ることで、やっとA社は、自社の情報のリスクが適切に管理されている確証を得ることができるわけです。

従来のISMSでは、クラウドセキュリティはカバーできない

ところで、この「B社に質問をする」という行為、すなわち、ISMSを適用している組織が、組織の外の人をISMSに巻き込むことは、この例で見たとおり、クラウドを利用しながらISMSを維持するためには必要な行為です。

しかし、実は従来のISMS規格であるJIS Q 27001や、管理策をまとめたJIS Q 27002には、これらの記載が部分的です。
このことは、経済産業省が出版している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」に、以下の表現で記載されています。

JIS Q 27002(実践のための規範)には、第三者の提供するサービスの利用に関する管理策があるが、組織がITを所有せずに全面的にクラウドコンピューティングを利用する場合には、この管理策が求める事項だけでは組織の情報セキュリティを確保するためには不足があるのが実情である。

経済産業省『クラウドサービス利用のための情報セキュリティマネジメントガイドライン』より引用

※2022年の規格改訂において、ISO27001においてもクラウドサービス利用を踏まえた内容が追加されています。一度確認しておきましょう。

ISO27017を取得すれば、クラウドのセキュリティにも対応できる!

このクラウド全盛の時代に、古いISMSの規格を用いたまま、社内のISMSを運用するのはまずいと考えたA社の担当者は、最近発行されたISO27017を活用することを考えます。

ISO27017のタイトルは「ISO27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範」となっており、クラウドを利用する側(クラウドサービスカスタマ)が、社内のISMSを適切に維持するために、クラウドを提供する側(クラウドサービスプロバイダ)に確認すべき内容が記載されています。さらに、クラウドを提供する側が、利用者に対して開示しておくべき内容も記載されています。

例えば、バックアップに関しては、ISO27017には以下のように書かれています。

【クラウドサービスカスタマ】
クラウドサービスプロバイダがクラウドサービスの一部としてバックアップ機能を提供する場合は、クラウドサービスカスタマは、クラウドサービスプロバイダにバックアップの仕様を要求することが望ましい。また、クラウドサービスカスタマは、その仕様がバックアップに関する要求事項を満たすことを検証することが望ましい。

【クラウドサービスプロバイダ】
クラウドサービスプロバイダは、クラウドサービスカスタマに、バックアップの仕様を提供することが望ましい。

日本規格協会『ISO27017邦訳版』より引用

提供者側は、ISO27017に従うことで、利用者がISMSを適切に運用するための情報を提供することができ、利用者側は、ISO27017に従うことで、外部の情報を取り入れ、時代に即した適切な情報セキュリティマネジメントシステムを実現することが可能になるのです。

ISMS / ISO27001認証取得を目指すISO27017
タイトルとURLをコピーしました