クラウドセキュリティ認証について
Keyspiderとクラウドセキュリティ認証のお話
技術者ブログ
こんにちは。アクシオの三上です。
少し前になりますが、アクシオが取扱っているクラウドID管理サービス「Keyspider」が、5月24日付でISMSのクラウドセキュリティ認証(ISO/IEC27017)を取得しました。
知らないという方も、とても多いと思います。今日はそんなお話をしてみたいと思います。
ZoomやSlack、M365に代表されるように、企業ではクラウドサービス利用が当たり前の時代になってきました。企業の業務システムのほとんどは、自社でシステム開発せずとも契約を交わしてすぐに目的のクラウドサービスを利用開始できる時代です。とても便利な時代になったと思います。情シス部門においては、課題感や必要性のあるシステムをすぐに始められること自体はメリットなのですが、企業の重要なデータを預けて、運用するわけなので、検討の際にはサービスの信頼性や安全性は大丈夫かをチェックする必要があります。
目次
クラウドサービスに預けていた重要データが消えた?
ちょっと怖い話なのですが、総務省のサイトで紹介されている事例では、クラウドサービスに預けていた重要データが消えてしまった事例などが紹介されています。(当時はニュースなどでも話題になりました)
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_case_13.html
こうした事故が起きないように、総務省では一般の企業や組織が利用するパブリッククラウドサービスにおいて、
利用する際の注意点を説明しています。
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_admin_15.html
重要なこととして「クラウドサービスを利用する際には、情報セキュリティ対策を継続して適切に行っているかどうかを確認した上で選定する必要があること」と述べています。
セキュリティ対策はどうやって判断する?
さて、星の数ほどあるクラウドサービスですが、自社が導入を検討する場合、総務省の唱える情報セキュリティ対策を継続して適切に行っているかどうかを簡単に判断する仕組みはないのでしょうか?「貴社のサービスは情報セキュリティ対策大丈夫ですか?」とクラウドサービスを提供する会社に確認を取っていくこと自体も製品選定部門ではひと苦労なことと思います。
そこで知ってほしいのが「ISMSクラウドセキュリティ認証( ISO/IEC27017 )」です。
「ISMSクラウドセキュリティ認証」とは、クラウドサービスに関する情報セキュリティを適切に管理している組織だと証明するための第三者認証です。 ユーザーが安心してクラウドサービスを利用できることを目的としています。
すこし話が脱線しますが、皆さんはISO/IEC27017 よりISO/IEC27001のほうが馴染みがあるかと思います。ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格で、 情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。情報管理を適切に実施している企業として多くの企業が取得しています。(アクシオも取得済みです。)
クラウドセキュリティ認証どれくらい取得されている?
さて、情報セキュリティ対策が整備されているクラウドサービスであることを認定される「ISMSクラウドセキュリティ認証」ですが、現在どれくらいの組織が取得しているのでしょうか?一般社団法人情報マネジメントシステム認定センター(略称:ISMS-AC)のサイトでは取得企業を検索することができます。
https://isms.jp/isms.html
2023年6月23日時点において、登録:435 公表:411の組織が取得しています。
(ちなみに、ISMS認証取得組織は2023年6月23日時点で登録:7403 公表:7015の組織が取得しています。)
クラウドサービスは増え続ける!?
2022年12月に公開された、ゼロトラストアライアンス・ジャパン(ZTAJ)の意識調査によれば、クラウドサービスの利用平均は31.9と報告されています。コロナ禍を経験し、テレワーク勤務も各段に増えてきた国内企業においては、クラウドサービスの利用数は今後もますます増えていくことが予測されます…。
https://ztaj.jp/report/report2022
こうした背景においては、クラウドサービスの運用管理を行う情シス部門にとっては、サービス導入時に「ISMSクラウドセキュリティ認証」を取得しているサービスであれば安心して導入を検討できるし、選定判断の目安にもなるかと思います。
「貴社のサービスはISMSクラウドセキュリティ認証取得してますか?」
⇒「はい。取得済みです。」
Keyspiderは、企業における従業員のIDをクラウドで管理し、各システム(オンプレもクラウドも)に連携させるサービスです。クラウドID管理サービスとしての便利機能の充実だけなく、安心安全なクラウドサービスの運用管理を目指し、第3者認証を取得・維持していくことも重要な取り組みとして活動してきました。今後もお客様に安心して選んでいただけるサービスを目指していきます。
Keyspider導入のメリットはこちらからご確認いただけます
最後までご覧いただきありがとうございました。