第1回 セキュリティポリシー確立と第三者認証の意義

IT・IT製品TOP > Key Conductors > 齊藤 愼仁(アイレット株式会社) > 第1回 セキュリティポリシー確立と第三者認証の意義
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

第1回 セキュリティポリシー確立と第三者認証の意義

エンドポイントセキュリティ 2016/03/10

 IaaSは日本企業に今やすっかり受け入れられたように見えますが、クラウド導入に対する不安はなかなか無くならないようです。多くの調査でクラウドへの不安の有無を尋ねるとほとんどは「ある」と回答され、その不安要素の筆頭は「セキュリティ」です。

 ところが、「セキュリティのどの部分に問題があるのか」という問いに関する回答は、漠然としています。可用性・稼働率のように具体性のある数字で表される事項への不安よりも、数値化できない「いつか何か悪いことが起きるのでは」という漠然とした不安感の方が勝っているのがどうやら現実のようです。

 私は「cloudpack」というAWS(Amazon Web Services)を利用するお客様向けに、24時間365日のフルマネージドサービスを提供している会社に所属しています。当社のお客様の中にも、クラウドのセキュリティを自社のステークホルダーに納得してもらうことに苦労されている方が多く、安全性をどう評価すれば良いのか、導入以前の検討段階で悩まれる企業も多いようです。

 cloudpackは、自社のインフラのほとんどをAWSで実装しており、そのセキュリティがどのような手段もしくは方法で保たれているのかを、「cloudpack Security White Paper」というドキュメントを通じて公開しています。このドキュメントは、主にお客様にcloudpackを安心してご利用いただくために情報をオープンにしているわけですが、自社のインフラにクラウドを利用したいと関心を持ちながらも、漠然とした不安をお持ちの方にも役立つだろうと考えています。

 今回は、当社のホワイトペーパーをなぞらえながら、ぜひチェックしていただきたい主要ポイントを、全4回で解説したいと思います。自社のインフラに、クラウドを活用したいと考えている方々にご参考になれば幸いです。

今後、連載予定の記事テーマ

第2回:セキュリティを支える体制のチェックポイント
第3回:業務ネットワークセキュリティのチェックポイント
第4回:運用上のセキュリティ保持に関するチェックポイント

クラウドサービスへの漠然とした不安の正体は?

 当社サービスは500社以上の企業にお使いいただいており、ごく短期間でセキュリティの検討を済ませ、早々に導入・運用に漕ぎ着けるお客様には、共通した傾向があります。それは、既にセキュリティポリシーが確立されていて、それをベースにした運用に慣れた企業であることです。社内のセキュリティポリシーと、公開されているサービスの仕様とが、合致するか否かをチェックすることから始め、自社が納得して運用しているセキュリティポリシーを踏襲した運用ができれば、クラウドであろうと違いはないと考えることができます。 既存のオンプレミス構築システムとクラウドサービスのセキュリティ要件は、かけ離れたものに思われるかもしれませんが実際には共通部分も多くあります。
 
 オンプレミスの堅牢だと言われるシステムでも、リスクをゼロにすることは不可能です。クラウドを納得して使うならば、オンプレミスと同様に自社のセキュリティポリシーを確固たるものにすることが大切です。まずは自社に必要なセキュリティレベルを、しっかりと把握することがクラウドに対する不安解消の第一歩になります。

セキュリティポリシー作りに役立つ「第三者認証」の研究

 おそらく現在ではセキュリティポリシーが何もないという企業は少ないでしょう。ただ、それが単にステートメントだけにとどまり、具体性に欠けたものである可能性はあるんじゃないかと思っています。

 さて、クラウドを始めとする外部サービスに対してその安全性評価を適正に行い、実際に利用をするとなると、既存のセキュリティポリシーあるいはその細則をより具体的な内容に改善していく必要があるかもしれません。しかし、どう改善していけば良いのか、何かしらの手がかりがなければ難しいでしょう。この時、助けになるのが各種のセキュリティ第三者認証制度です。

 セキュリティ第三者認証制度には、国際的にはISO27001、PCIDSS、SOC2などがあり、日本ではPマークも含まれます。これらの特徴と内容を把握することが、自社のポリシー改善に大いに役立ちます。外部サービスの利用を検討の際に、認証取得を条件としているケースはよく耳にする話ですが、それよりも自社のセキュリティポリシー改善の参考にする目的で、各種認証を研究してみてはいかがでしょうか。

 試しに、自社で認証を取得するつもりになって、何が自社のポリシーに欠けているのかをチェックし、たとえ数項目であっても不足部分を自社ポリシーに追加していくだけでも、ポリシー改善が図れます。

 以下の「表1」に主なセキュリティ第三者認証の内容をまとめました。ちなみにAWSは、国際的に多数の第三者認証を取得しています。当社もAWSの運用などを請け負っているので、可能な限りAWSと同じ認証を取得して、セキュリティレベルを合わせようとしています。当社も表1の認証は取得しているのですが、取得の難易度で言えば、私の印象ではSOC2が最も難しく、大きく離れてPCI DSS、次にPマーク、ISO 27001という順になります。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 これら認証制度はどれも、企業のセキュリティ状態の客観的なモニタリングに必要な視点を与えてくれます。制度の内容は公開されていますから、自社に役立つところを探し出してみることをお勧めします。当社ではこれらの認証取得により、極めて高度なセキュリティ体制が実現できたと実感しています。

クラウドを納得して活用するベストプラクティス:セキュリティホワイトペーパー公開中!

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008609


IT・IT製品TOP > Key Conductors > 齊藤 愼仁(アイレット株式会社) > 第1回 セキュリティポリシー確立と第三者認証の意義

このページの先頭へ

キーマンズネットとは
AWSインテグレーターcloudpack所属(アイレット株式会社)。x86系プロセッサを中心としたサーバーの企画・設計やHPCハードウェアのプリセールスなどに参画した経験を持つ。現在は社内インフラのセクションリーダーを担当。情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。

ページトップへ