グループウエア、IoT、ERPなどクラウドサービスの形態は多岐にわたります。そんな数多くのクラウドサービスの選定時に最優先となる領域の一つが「セキュリティ」でしょう。クラウドサービスの選定にあたってセキュリティの担保となるのが第三者認証。しかし、種類が多いため、それぞれの違いや信頼度の判断に迷う方も少なくないのではないでしょうか。
本記事では、ISMS、Pマークをはじめとする主要な情報セキュリティにまつわる認証制度についてまとめてご紹介します。

情報セキュリティの国際規格に基づく「ISMSクラウドセキュリティ認証」

ISMSクラウドセキュリティ認証（CLS認証）はクラウドにまつわる第三者認証の定番です。ISMS（Information Security Manegement System：情報セキュリティマネジメントシステム）は、組織の情報セキュリティにまつわる第三者認証であり、ISMSの根幹をなす「ISO/IEC 27001」と、クラウドサービスに特化した「ISO/IEC 27017」の二つで構成されています。情報セキュリティを取り巻く状況に合わせて改定が重ねられており、「ISO/IEC 27001：2013」「ISO/IEC 27017：2015」のように、「：」の後にバージョンが記載されることがあるのはそのためです。いずれもJIS化されており、同等性は最高基準で一致しています。

ISMSクラウドセキュリティ認証（CLS認証）は、クラウドサービスを提供している組織、利用する組織の両方が対象で、取得には準備も含めて半年～1年程度の期間が必要となります。まずは情報セキュリティ方針を策定し、それに基づいたマニュアルや適用宣誓書といった文書を作成。マネジメントシステムを構築した上で、内部監査と是正措置を経て、文書による一次審査と現地訪問での二次審査が行われます。取得にあたっては審査機関ごとに定められた審査費用が必要となり、またコンサルティング企業による取得サポートを受ける場合、そのためのコストも発生します。また、認定後には年1回以上のサーベイランス審査と3年ごとの再認証審査が求められます。

国際的に通用するクラウドセキュリティの第三者認証としてスタンダードなのがISMSクラウドセキュリティ認証であり、取得の準備を通して可用性・完全性・機密性に関する知識共有が行われていると期待できます。

なお、関連する国際規格に「ISO/IEC 27018」がありますが、こちらはパブリッククラウド上の個人情報の保護に特化しており、ISO/IEC 27017と同じく、ISO/IEC 27001のアドオン認証です。

個人情報の保護に主眼をおいた国内規格「Pマーク」

ISMSと比較されることの多いPマークは、プライバシー(Privacy)マークの略で、その名の通り個人情報の保護に主眼をおいた国内規格です。「JIS Q 15001:2017 個人情報保護マネジメントシステム―要求事項」に基づいて、一般財団法人日本情報経済社会推進協会（JIPDEC）によって付与される認証であり、2年ごとに更新されます。JIPDEC自身が明言している通り、広く情報セキュリティの「国際」基準を認証するISMSクラウドセキュリティ認証と、個人情報の保護を目的に「国内」基準を満たしていることを認証するPマークは、性質や目的が異なり、クラウドの活用形態によって使い分け・並列可能なものです。

ベンダーを見極める、あるいは依頼にあたって第三者認証の取得を求める場合、両認証の違いを踏まえて妥当な形で基準を定めることが重要です。

IT製品・システムのセキュリティ機能を評価する「JISEC」

JISEC（Japan Information Technology Security Evaluation and Certification Scheme：ITセキュリティ評価及び認証制度）は、独立行政法人情報処理推進機構が運営する第三者認証で、「ISO/IEC 15408」に基づいています。CC（コモンクライテリア）とも言われるISO/IEC 15408はITサービスや製品のセキュリティ機能を評価するという点で、情報セキュリティマネジメントを評価するISO/IEC 27001と異なります。

ITサービスではなく、IT製品・システムのセキュリティ機能を評価するものと覚えておくと良いでしょう。

クラウドにおける内部統制を認証する「SOC」

米国公認会計士協会（AICPA）が評価する「SOC（Service Organization Controls）」は、企業の内部統制を評価するための第三者認証であり、複数の種類がある中で、SOC2はクラウドのセキュリティに関する内部統制を補償することに機能します。また、SOC3はSOC2の内容を広く一般に公開するために作成されます。
SOC報告書の具体的な内容、読み方について詳しくは「クラウドサービスの信頼性を示す SOC報告書 について理解する」をご一読ください。

Pマークと同様に用いられる「JAPHICマーク」

Pマークと同様に個人情報保護に主眼をおいた国内向けの第三者認証が「JAPHIC」マークです。一般にPマークよりも安価かつ短い期間で取得できるとされており、どちらかといえば中小規模の事業者向けと言われます。Pマークに知名度は劣るものの、個人情報保護の取り組みに対する判断基準としては同様に用いられるでしょう。

クラウドサービスに対する内部監査を認証する「CSマーク」

「CSマーク」はCloud Security（クラウドセキュリティ）マークを意味し、ISO/IEC 27017に基づいています。セキュリティマネジメント体制が構築され、基本言明要件通りに事業が実施されているかどうかが評価の対象であり、内部監査（自主監査）によって得られるシルバーマークと、内部監査の妥当性に対する外部監査を経て得られるゴールドマークがあります。CSマークはクラウドサービスに対して個別に与えられるものであり、顧客に公開する形で基本言明書に付与されます。

情報セキュリティの判断材料として第三者認証を

主にクラウドに関連するITセキュリティ関連の第三者認証について解説してまいりました。それぞれの取得状況については、認証機関のサイトや企業の情報セキュリティ報告書で確認することができます。企業の情報セキュリティに関する姿勢を判断する基準として、ぜひ参考にしてください。