日本マイクロソフト(日本MS)は2月15日、同社クラウドサービスの「Microsoft Azure」および「Office 365」が国内で初めて取得したセキュリティ監査認定「クラウドセキュリティ(CS)ゴールドマーク」に関する説明会を開催した。
日本セキュリティ監査協会(JASA)事務局長の永宮直史氏
日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏
PwCあらた監査法人 システム・プロセス・アシュアランス部 シニアマネージャーの川本大亮氏
「クラウドセキュリティ ゴールドマーク」とは何か
日本セキュリティ監査協会(JASA)のクラウドセキュリティ推進協議会が制定したCSゴールドマークは、当該クラウドサービスが、昨年策定された国際的な情報セキュリティ標準「ISO/IEC 27017」で求められる水準を満たしていることを示すことを目的として制定されたもの。内部監査のみで取得できる「CSシルバーマーク」とは異なり、ゴールドマークは第三者(外部監査人)による監査も経なければ取得できない。また、ISO/IEC 27017をベースとした認証はCSゴールドマークが世界初となるという。
日本マイクロソフトでは2月10日、Microsoft AzureとOffice 365の2つのクラウドサービスにおいて、CSゴールドマークの取得を発表している。
クラウドセキュリティ ゴールドマークのロゴ
マイクロソフトのCSゴールドマークに関する資料(JASAサイトで公開されている言明書)
発表会ではまず、JASA事務局長の永宮直史氏が、米国のSOC(Service Organization Control)レポートとCSゴールドマークの違いや、国内セキュリティガイドラインとの関係などを説明した。
永宮氏によると、SOCとCSゴールドマークの大きな違いは、外部監査人が直接監査を行うか、間接的に監査を行うかという部分だという。監査の「公正さ」という面では、外部監査人が直接監査を行うSOCのほうがより優れている一方で、監査を依頼するクラウドプロバイダー側のコスト負担が多大なものになるという。実際に、SOC 2の取得は「外部監査人がデータセンターに9カ月間詰めるほど」(マイクロソフト)の作業であり、コストも時間もかかる。
「先進的なクラウド技術に精通している監査人の数は限られており、監査が実施できる監査事業者も超大手だけになってしまう。もしも技術評価のできる内部監査人がおり、内部監査の結果が『使える』のであれば、外部監査人の負担が少なくて済む」(永宮氏)
そこでCSゴールドマークでは、あらかじめ定められた1000近い監査手順に基づいて内部監査人がまとめた「監査報告書」を、外部監査人が評価するという間接的な手法を採ることで、クラウドプロバイダー側の負担を減らし、取得にかかる期間も短縮することを目指した。
CSゴールドマークにおける間接的な監査の仕組み。標準化された手順に基づき内部監査人(有資格者)が監査を実施、その報告書を外部監査人が評価する
「外部監査人の負担が少ないので、費用は〔SOCの〕数分の1で済む。また、経営者自身が決めるよりもはるかに『粒ぞろい』の監査項目が標準手順として決まっているので、外部監査人も正しく評価できる」(永宮氏)
PwCあらた監査法人の川本大亮氏も、監査手続きを定めることで内部監査人の監査水準のばらつきを抑え、さらに外部監査で公正さを担保するのがCSゴールドマークであると説明。監査コストは、最終的にはクラウド利用料金に跳ね返ることも指摘して、「なるべくコストを抑えながら、監査を提供できる仕組み」として同監査制度の活用を呼びかけた。
「セキュリティ向上のためにクラウドサービスを利用する顧客が増えれば」
日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏は、今回のCSゴールドマークやSOC 1/2、PCI DSS、FISC、HIPAAなど、マイクロソフトがクラウドサービスにおいてセキュリティ認証を積極的に取得している背景と、顧客が享受できるメリットを説明した。
顧客が自社ITシステムを利用して取引先等にサービスを提供する場合、顧客自身でセキュリティポリシーを定め、外部監査も行えば、取引先等に対する「セキュリティ対策の表明」が可能となる。しかし、その基盤がクラウドサービスになると、顧客自身の監査だけでは信用は得られない。高橋氏はこれを「クラウド化による『保証の破れ』」と表現する。その「破れ」を防ぐために、クラウドサービス側でも監査取得が必要というわけだ。
クラウドサービス側の認証取得、“保証の破れ”を防ぐことができる
さらに高橋氏は、セキュリティ対策そのものをクラウドに“外注”できるメリットも強調する。高度なサイバー攻撃に対抗するセキュリティ対策をオンプレミスで構築するためには、多大なコストがかかるうえ、すぐに陳腐化しがちだ。これがクラウドならば「迅速で、その時々に適切なセキュリティ対策ができる」(高橋氏)。コスト抑制も期待できるので、本来業務に投資を集中できる。
高橋氏は、今回“日本発”のCSゴールドマークを取得したことで、「これまでセキュリティの話をしても、どこか外国の話のように受け止められていたかもしれないが、これで日本の顧客にも身近なものになるのではないか」と語った。また、今回の取得を契機として、国内企業や官公庁、自治体などでの同社クラウドサービス導入が進むことも期待していると述べている。
「『セキュリティ向上のために』クラウドサービスを利用する顧客が増えれば」(高橋氏)
