「ISMSクラウドセキュリティ認証」とは?

認証取得までの大きな流れは、1)リスクの特定、2)リスクの見積もり、3)リスクの除去・低減策の実施ーに尽きる。江澤氏は「審査機関のためコンサルティングは行えない」としたうえで、クラウドセキュリティ分野で参考になる資料をすすめてくれた。それはENISA(European Network and Information Security Agency:欧州 ネットワーク情報セキュリティ庁)が2009年11月に発行した「クラウドコンピューティングのセキュリティガイドライン」で、IPAが2010年に翻訳し、日本語和訳版が公開されている。(https://www.ipa.go.jp/about/press/20101025_2.html)。クラウドサービスの提供・利用において想定されるリスクとその危険度がマトリクスにまとめられている。ただし具体的に何をリスクとして抽出し、どのような対策をとるかは、取得企業が自ら選択することになる。

クラウドサービス運用で考えられる35のリスク項目を発生確率と影響度によってまとめたマトリクス。 例えばリスク尺度7に相当するリスク要因は、R2「ガバナンスの喪失」、R3「コンプライアンスの課題」、R22「司法権の違いから来るリスク」が考えられる (出典:IPA「クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項情報セキュリティに関わる利点、リスクおよび推奨事項」を基に作成 https://www.ipa.go.jp/security/publications/enisa/documents/Cloud%20Computing%20Security%20Risk%20Assessment.pdf

PDCAを回す体制づくりが最善のセキュリティ

もちろん、認証取得することでセキュリティ面の事故を100%防ぐことが保証されるわけではない。「我々が認証するのは、自社内で常にPDCAを回してクラウドセキュリティを強化していく仕組みそのもの。世の中も変わっていくし、組織も変わっていく。100%は誰も保証できないからこそ、常に社内のセキュリティを改善し続けられるプロセスを組織内に持つ企業が一番セキュリティに強い。ぜひ認証を通じて社内にマネジメントシステムを定着させてほしい」と江澤氏は話している。

■関連記事  「ISO27017」認証取得 LisB(エルイズビー)社 取得事例
http://www.risktaisaku.com/articles/-/7287

(了)