クラウドサービスのセキュリティ監査制度、2014年に実施へ：「クラウドセキュリティ推進協議会」が発足

　クラウドサービスのセキュリティを確認、比較しやすくする「クラウド情報セキュリティ監査制度」の制定を目指す協議会の発足が、4月25日に発表された。日本セキュリティ監査協会（JASA）の下部組織として設立された「JASA・クラウドセキュリティ推進協議会」がそれで、2014年に同監査制度をスタートするという。協議会はこれにより、企業や組織がクラウドサービスを検討する際、事業者におけるセキュリティ対策の確認・比較に使える基準の確立を目指す。

　クラウド情報セキュリティ監査制度は、事業者における内部監査を、外部の独立した第三者が評価する形で行う。内部監査を基本とする理由は、クラウドサービスは関連技術が新しく、複雑で変化が激しいため、十分な知識を持つ外部監査人が限られることにあるという。事業者社内の技術者が、監査の知識を習得して実施するほうが適切だとする。また、現在例えばSOCが外部監査により実施されているが、事業者側の負担が大きいことから、監査を受ける事業者が限定されてしまっているとする。

　間接的ながら、内部監査の有効性を外部監査人が評価する方式をとることで、監査内容の信頼性を担保する。内部監査人は標準化された基準と手続きに基づき、監査を行うことで、その質にばらつきが出ないようにする。

クラウド情報セキュリティ監査制度の全体像

　新監査制度のベースとなるのは経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」。このガイドライン自体はクラウドサービスの利用者を対象として作成されたが、事業者の満たすべきセキュリティ要件についても言及している。

　同ガイドラインに基づいて、JASAは「クラウド情報セキュリティ管理基準」などを2012年9月に公開し、これを使って12社のサービスを対象としたパイロット監査を、4月中旬に終えたという。協議会はこれを発展させる形で、監査プロセスの整備を進め、監査制度の正式提供につなげる。

　上記のとおり、クラウド情報セキュリティ監査制度の拠り所となるのは、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」に基づく「クラウド情報セキュリティ管理基準」。協議会では実際の監査に必要となる「クラウド情報セキュリティ基本言明要件」「クラウド情報セキュリティ監査基準利用ガイド」「クラウド情報セキュリティ監査技術ガイド」などを策定、内部監査人の教育や認定を行っていくという。

　クラウド情報セキュリティ監査制度では、「内部監査のみ終了」「外部監査も終了」の2段階に分けて、「CSマーク」を発行する。事業者は「言明書」を公開。標準的な書式に基づき、利用者の抱くセキュリティ上の懸念項目に対し、自社の対策を示す。協議会会長の工学院大学教授 大木栄二郎氏によると、この言明書はクラウドサービス事業者をセキュリティの観点で選択する材料の1つになるという。監査に複数のレベルを提供する可能性について質問したところ、各事業者が特約という形で示すことが可能と、大木氏は答えた。

記者発表には日本セキュリティ監査協会、経済産業省、あらた監査法人、CTC、IIJ、セールスフォース・ドットコム、新日本監査法人、電通国際情報サービス、NTT、ニフティ、日立製作所、富士通の関係者が出席した

　なお、協議会にはクラウドサービス事業者・二次提供者23社、監査法人2社が参加の予定。外資系としては現在のところ唯一、セールスフォースドットコムが入っている。