クラウドサービスのセキュリティのための規格「ISO/IEC 27017(JIS Q 27017)」をベースとした、ISMSクラウドセキュリティ認証制度が、昨年2016年の8月に開始され、早1年が経過しようとしています。

認証取得組織の数も、約20組織となり、今後もますますの広がりを見せそうです。

ところで、皆さんご存知の「ISMS認証制度」は、その認証を取得していることが、官公庁などの入札要件になることも多いです。

そのため、「政府や地方自治体からの仕事を受注するために、ISMS認証を取りたい」という理由で、ISMS認証取得の取り組みを始める会社様も多いです。

ところで、冒頭でお話しした「ISMSクラウドセキュリティ認証」の場合はどうでしょうか?「ISMS認証」と同様、官公庁の入札要件になりつつあるのでしょうか?現状を調査してみました。

「ISO27017をサービス選定の基準に」と内閣が提示

2014年に制定された法律「サイバーセキュリティ基本法」では、内閣に「サイバーセキュリティ戦略本部」を設置することを求めています。

また、同法律では、サイバーセキュリティ戦略本部に対して「国の行政機関等のサイバーセキュリティに関する対策の基準を作成すること」という記述も存在しています。

その法律に従い、サイバーセキュリティ戦略本部では、各政府機関に向けて「政府機関の情報セキュリティ対策のための統一規範」および、その具体的な詳細などを示した「政府機関の情報セキュリティ対策のための統一基準」を公開しています。

この統一基準の中には、「クラウドサービスの利用」という章があります。その章の中には、以下のような記述が見られます。

遵守事項
(1)クラウドサービスの利用における対策
 (中略)
 (e) 情報システムセキュリティ責任者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。

「政府機関の情報セキュリティ対策のための統一基準」より引用

また、府省庁が、この統一基準に準拠して、独自の対策基準を作る場合に参考とする「府省庁対策基準策定のためのガイドライン」には、先ほどの引用についてのより詳細な内容が記載されています。

具体的には以下の通り。

クラウドサービス事業者及び当該サービスの信頼性が十分であることを総合的に判断するためには、クラウドサービスで取り扱う情報の機密性・完全性・可用性が確保されるように、クラウドサービス事業者のセキュリティ対策を含めた経営が安定していること、クラウドやアプリケーションに係るセキュリティ対策が適切に整備され、運用されていること等を評価する必要がある。
このような評価に当たって、クラウドサービス事業者が利用者に提供可能な第三者による監査報告書や認証等を取得している場合には、その監査報告書や認証等を利用することが考えられる。
(中略)
なお、参考となる認証には、ISO/IEC 27017によるクラウドサービス分野におけるISMS認証の国際規格があり、(中略)これらの国際規格をクラウドサービス事業者選定の際の要件として活用することも考えられる。

「府省庁対策基準策定のためのガイドライン」より引用

色々引用しましたが、シンプルに纏めると、「政府機関や府省庁がクラウドサービスを利用する場合は、ISO/IEC 27017認証を始めとした第三者認証などを確認することによって、セキュリティ対策に問題がないかを確認してください」という指示を、内閣が提示している、という事になります。

すでに農林水産省が入札要件として明文化

ところで、これらの基準やガイドラインも、2016年に改正されたばかりですし、冒頭にもお伝えしたとおり、ISO/IEC 27017をベースとした認証制度も、2016年に開始されたばかりですので、2017年7月現在、まだ具体的な入札条件として、明文化されているかどうかは微妙なところです。

ただ、動きが早かったのは農林水産省でした。

農林水産省が出す各種仕様書の入札要件には、すでに「ISMSクラウドセキュリティ認証」や「ISO/IEC 27017」という表記を見ることが出来ます。既に膨大な仕様書をインターネットから手に入れることが出来ますが、例として2つを紹介します。

受注者は、本業務において、クラウドサービスを活用する場合には、以下の措置を講じること。
(中略)
2 クラウドサービスの情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。
(1)ISO/IEC 27017又はISMSクラウドセキュリティ認証制度に基づく認証
(2)セキュリティに係る内部統制の保証報告書(SOC 報告書(Service Organization Control Report))
(3)情報セキュリティ監査により対策の有効性が適切であることを証明する報告書(クラウド情報セキュリティ監査制度に基づくCSマークが付されたCS言明書等)
(4)「政府機関の情報セキュリティ対策のための統一基準」に準拠し、同等のセキュリティレベルでシステム運用可能なことを証明する資料

農林水産省「安否確認等サービス提供業務仕様書」より引用

ウェブサーバーにクラウドサービスを利用する場合、クラウドサービスの委託先として信頼性が十分であることを総合的・客観的に評価するため、以下のいずれかの条件を満たすこと。
(1)ISO/IEC 27017又はISMS クラウドセキュリティ認証制度の認証取得事業者
(2)クラウドサービス事業者等のセキュリティに係る内部統制の保証を受けた事業者
(3)第三者機関によるクラウド情報セキュリティ監査により対策の有効性が適切であることを証明可能な事業者

農林水産省共済組合「農林水産省共済組合ホームページの制作及び運用保守業務仕様書」より引用

このように、既に「サイバーセキュリティ戦略本部」が発行する基準を取り入れている省庁も存在していますし、この流れは、今後もますます伸びていくことが予想されます。

やはり、世間にはクラウドサービスは便利であることを認識しつつも、安全性を危惧している方々は多いです。

そのような方々に対して、客観的な説明責任を果たせる、ISO27017認証・ISMSクラウドセキュリティ認証の役割は、ますます大きくなっていくでしょう。

ISMSクラウドセキュリティ認証(ISO27017)が、官公庁の入札要件になりつつあります

Posted in ISO27017

クラウドサービスのセキュリティのための規格「ISO/IEC 27017(JIS Q 27017)」をベースとした、ISMSクラウドセキュリティ認証制度が、昨年2016年の8月に開始され、早1年が経過しようとしています。

認証取得組織の数も、約20組織となり、今後もますますの広がりを見せそうです。

ところで、皆さんご存知の「ISMS認証制度」は、その認証を取得していることが、官公庁などの入札要件になることも多いです。

そのため、「政府や地方自治体からの仕事を受注するために、ISMS認証を取りたい」という理由で、ISMS認証取得の取り組みを始める会社様も多いです。

ところで、冒頭でお話しした「ISMSクラウドセキュリティ認証」の場合はどうでしょうか?「ISMS認証」と同様、官公庁の入札要件になりつつあるのでしょうか?現状を調査してみました。

「ISO27017をサービス選定の基準に」と内閣が提示

2014年に制定された法律「サイバーセキュリティ基本法」では、内閣に「サイバーセキュリティ戦略本部」を設置することを求めています。

また、同法律では、サイバーセキュリティ戦略本部に対して「国の行政機関等のサイバーセキュリティに関する対策の基準を作成すること」という記述も存在しています。

その法律に従い、サイバーセキュリティ戦略本部では、各政府機関に向けて「政府機関の情報セキュリティ対策のための統一規範」および、その具体的な詳細などを示した「政府機関の情報セキュリティ対策のための統一基準」を公開しています。

この統一基準の中には、「クラウドサービスの利用」という章があります。その章の中には、以下のような記述が見られます。

遵守事項
(1)クラウドサービスの利用における対策
 (中略)
 (e) 情報システムセキュリティ責任者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。

「政府機関の情報セキュリティ対策のための統一基準」より引用

また、府省庁が、この統一基準に準拠して、独自の対策基準を作る場合に参考とする「府省庁対策基準策定のためのガイドライン」には、先ほどの引用についてのより詳細な内容が記載されています。

具体的には以下の通り。

クラウドサービス事業者及び当該サービスの信頼性が十分であることを総合的に判断するためには、クラウドサービスで取り扱う情報の機密性・完全性・可用性が確保されるように、クラウドサービス事業者のセキュリティ対策を含めた経営が安定していること、クラウドやアプリケーションに係るセキュリティ対策が適切に整備され、運用されていること等を評価する必要がある。
このような評価に当たって、クラウドサービス事業者が利用者に提供可能な第三者による監査報告書や認証等を取得している場合には、その監査報告書や認証等を利用することが考えられる。
(中略)
なお、参考となる認証には、ISO/IEC 27017によるクラウドサービス分野におけるISMS認証の国際規格があり、(中略)これらの国際規格をクラウドサービス事業者選定の際の要件として活用することも考えられる。

「府省庁対策基準策定のためのガイドライン」より引用

色々引用しましたが、シンプルに纏めると、「政府機関や府省庁がクラウドサービスを利用する場合は、ISO/IEC 27017認証を始めとした第三者認証などを確認することによって、セキュリティ対策に問題がないかを確認してください」という指示を、内閣が提示している、という事になります。

すでに農林水産省が入札要件として明文化

ところで、これらの基準やガイドラインも、2016年に改正されたばかりですし、冒頭にもお伝えしたとおり、ISO/IEC 27017をベースとした認証制度も、2016年に開始されたばかりですので、2017年7月現在、まだ具体的な入札条件として、明文化されているかどうかは微妙なところです。

ただ、動きが早かったのは農林水産省でした。

農林水産省が出す各種仕様書の入札要件には、すでに「ISMSクラウドセキュリティ認証」や「ISO/IEC 27017」という表記を見ることが出来ます。既に膨大な仕様書をインターネットから手に入れることが出来ますが、例として2つを紹介します。

受注者は、本業務において、クラウドサービスを活用する場合には、以下の措置を講じること。
(中略)
2 クラウドサービスの情報セキュリティ水準を証明する以下のいずれかの証明書等の写しを提出すること。
(1)ISO/IEC 27017又はISMSクラウドセキュリティ認証制度に基づく認証
(2)セキュリティに係る内部統制の保証報告書(SOC 報告書(Service Organization Control Report))
(3)情報セキュリティ監査により対策の有効性が適切であることを証明する報告書(クラウド情報セキュリティ監査制度に基づくCSマークが付されたCS言明書等)
(4)「政府機関の情報セキュリティ対策のための統一基準」に準拠し、同等のセキュリティレベルでシステム運用可能なことを証明する資料

農林水産省「安否確認等サービス提供業務仕様書」より引用

ウェブサーバーにクラウドサービスを利用する場合、クラウドサービスの委託先として信頼性が十分であることを総合的・客観的に評価するため、以下のいずれかの条件を満たすこと。
(1)ISO/IEC 27017又はISMS クラウドセキュリティ認証制度の認証取得事業者
(2)クラウドサービス事業者等のセキュリティに係る内部統制の保証を受けた事業者
(3)第三者機関によるクラウド情報セキュリティ監査により対策の有効性が適切であることを証明可能な事業者

農林水産省共済組合「農林水産省共済組合ホームページの制作及び運用保守業務仕様書」より引用

このように、既に「サイバーセキュリティ戦略本部」が発行する基準を取り入れている省庁も存在していますし、この流れは、今後もますます伸びていくことが予想されます。

やはり、世間にはクラウドサービスは便利であることを認識しつつも、安全性を危惧している方々は多いです。

そのような方々に対して、客観的な説明責任を果たせる、ISO27017認証・ISMSクラウドセキュリティ認証の役割は、ますます大きくなっていくでしょう。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする