認証取得の流れ、時間・費用は?

実際にクラウドセキュリティの第三者認証を取得するにはどんな手続きが必要になるか。JQAが審査する「ISMSクラウドセキュリティ認証」を例に江澤氏に紹介してもらった。「ISMSクラウドセキュリティ認証」は、情報セキュリティマネジメントシステム認証「ISO/IEC 27001」(ISMS認証)を取得している企業が追加で取得する、いわゆるアドオン認証となっている。この点、すでに「ISO/IEC 27001」を取得している企業であれば、手続きの流れでつまずく企業は少ない。

登録活動(サービス内容)と登録対象(組織)は、各社で選択できる。登録対象は全社で取得に取り組む場合もあれば、サービス提供に関係する部門単位で取得する場合もある。申し込みから認証取得までにかかる期間は平均6カ月程度だという。

認証取得にかかる費用は企業規模によって異なるが、初回審査で数十万円。認証取得後は、年1回実効性を確認する(マネジメント維持確認)ため「維持審査」があるほか、3年おきに「更新審査」がある。このため認証取得後は毎年数十万円がかかる。このほか企業内において外部コンサルタントへの委託費やその他設備投資が必要となる場合もある。


自社で取り組むか、コンサルタント委託か?

認証取得にあたって、企業が自社内で独自に取り組むか、外部コンサルタントに申請業務を委託するか、によって対応が二分される。「外部コンサルタントを置く場合には社内担当者の負担は軽くなるが、同時に認証が形骸化するリスクも伴う」と江澤氏。「傾向としては自社で取り組む企業の方が取得後も規格をうまく活用できている。手間や時間はかかっても社内で自ら準備する方が取得後の効果は大きい」(同)。JQAでは認証取得を希望する企業に2つの選択肢とその違いを説明し、自社内で取得を希望する企業を支援する体制を整えているという。実際、同機構でクラウドセキュリティ認証を取得した15社のうち多くが自社のみでマネジメントシステムを構築している。