1 2015 年 5 月 11 日 特定非営利活動法人 日本セキュリティ監査協会
NEWS RELEASE
CS シルバーマークの発行について
クラウド情報セキュリティ監査制度に基づき、7会員のクラウドサービス に対する情報セキュリティ監査を認定し、CS シルバーマークの使用を許諾 特定非営利活動法人 日本セキュリティ監査協会(会長 土居 範久、東京都江東区)の 下部組織であるJASA-クラウドセキュリティ推進協議会(協議会長 大木榮二郎;以下、 当協議会)は、このたび、クラウドサービス事業者7社に対し、そのサービスの情報セキ ュリティ監査の品質が協議会の定める水準に達していることを認定し、CS シルバーマーク の使用許諾を行います。 CS シルバーマークは、以下の条件を満たすクラウドサービス に対して、使用許諾するものです。 ① 当協議会が定める基本リスクに対し必要な管理策を実施 していること ② 実施状況について、標準監査に準拠した内部監査により確 実であると確認されていること 使用を許諾されたクラウドサービス事業者は、対象とするサー ビスに関して、基本リスクへの対策を確実に実施している旨を記 載した言明書や、関連する販促資料等にCS シルバーマークを添 付することができます。 CS シルバーマーク CS シルバーマークの使用許諾を行うクラウド情報セキュリティ監査制度は、経済産業省 が平成15 年に創設した情報セキュリティ監査制度をクラウドサービスに適用したもので、 企業の一般的なクラウドサービス利用を念頭に設けられました。本制度の特徴は、以下の5 点にあります。 ・サービスごとに信頼性を表明します。 ・リスクごとに対策の実施状況を確認します。 ・標準的な監査を定めることで、監査の品質を確保します。 ・クラウドサービスの良さを生かす効率的な監査を行います。 ・クラウドサービスに関するセキュリティの国際標準を先取りしています。2 本制度では、クラウドサービス事業者に、対応すべきリスク(基本リスク)とそれに対 する管理策群(基本言明要件といいます)を実施し、その実施が確実であることを監査で 確認することを求めています。監査は、クラウド情報セキュリティ管理基準に基づいて行 われる監査で、監査人や監査手続など、協議会が定める品質要件を満たす必要があります。 これらの要件を満たす監査を行ったことを届け出たクラウドサービス事業者に、安全であ る旨の言明を認め、マークの使用を認める制度です。 以下、特徴について、詳細に説明します。 1. サービスごとに信頼性を表明します。 クラウドサービス事業者が種々のサービスを行っている場合、サービスによってリ スク管理の水準が異なることがあります。このうち、企業が一般的に利用するサービ スとして、必要なリスク対策をしているサービスについて言明を行います。 情報セキュリティに関して事業者を認定する制度が一般的ですが、本制度ではサー ビスごとに信頼性の表明を行います。クラウドサービス利用者は、多様なサービスの うちから、自らに適したサービスを選択することができます。 2. リスクごとに対策の実施状況を確認します。 クラウドサービス利用者が懸念するのは「どの様なリスクがあり、そのリスクにつ いて対策が施されているか」にあります。一方、クラウドサービス事業者は「どのよ うな対策を行っているか」としか答えることができませんでした。これまでは、残念 ながらクラウドサービス利用者が期待する情報に応えられなかったのです。 また、仮にクラウドサービス利用者が対策の詳細を尋ねても、クラウドサービス事 業者は、悪意のある者に攻撃の手掛かりを与える恐れがあるため、相互に信頼がない と内容を開示することができません。新たなクラウドサービスを選択しようとする利 用者には、情報セキュリティに関する情報が得られにくい状況だったといえます。 本制度でも対策の詳細は開示されませんが、監査を通じてリスク毎に対策が行われ ているかを確認することができます。これを通じて、クラウドサービス利用者とクラ ウドサービス事業者がリスクという共通の言葉で情報交換することができます。 3. 標準的な監査を定めることで、監査の品質を確保します。 監査には専門的な知識・経験が必要です。特に、情報セキュリティ監査は、情報シ ステムについての知見と監査の技術知識の二つが不可欠です。新しい技術を用いるク ラウドサービスに対しては、クラウドサービス固有の技術についての知識も欠かせま せん。 本制度では、クラウドサービスに関わる情報セキュリティの技術者に、監査人の教 育を施し、監査人としての資格を認定しています。さらに、監査経験が少ない監査人
3 でも十分な監査を実施できるように、管理策ごとに監査標準手続を定めました。また、 クラウドサービスの情報セキュリティ技術者が事業部門に所属することも多いため、 監査の中立性を保つための「監査人の独立性ガイドライン」を定めています。 一方、経営者がクラウド情報セキュリティに関するガバナンスを利かせているかに ついての確認書の提出を求め、経営として責任を取っていることを確認しています。 こうした多様な観点からチェックすることで、高い品質の監査が行われるようにし ています。 4. クラウドサービスの良さを生かす効率的な監査を行います。 クラウドサービスを提供するコンピュータシステムは、複雑で巨大なシステムです。 このため、情報セキュリティ監査も膨大な作業となります。 技術的にみるとリスク対策は、ハードウェアに関わる物理層、コンピュータ資源を 共有リソースとして活用するための仮想化層など、対象とする層(レイヤー)により 異なります。このため、管理策は層別に行う必要があります。 リスク対策としての基本言明要件を評価するクラウド情報セキュリティ管理基準の 詳細管理策は、約1,000 の項目で構成されています。監査人は、これらの項目から、 自社の環境にあった項目を選択して監査を行います。これらを外部委託すると、企業 としての負担が大きくなります。 一方で、クラウドサービス事業者は内部で様々な監査を別途行っています。情報セ キュリティ管理基準を基本として、他の監査基準との項目別対照に基づいて標準監査 として行うことで、監査結果の相互利用ができます。これまで同じ内容を異なった監 査ごとに何回も評価していましたが、1 回の評価作業で済ませられるので監査全体の負 荷を減らすことができます。これにより、クラウドサービス利用者は、監査費用の価 格転嫁などを受けずに、信頼できるサービスを利用できるようになります。 5. クラウドサービスに関するセキュリティの国際標準を先取りしています。 日本が提案して策定作業が進められているISO/IEC 27017(クラウド情報セキュリ ティの国際標準)が今年秋にも発行される見通しです。この規格の元となっているの が、経済産業省が2011 年に公表した(2013 年改訂)「クラウドサービス利用のための 情報セキュリティマネジメントガイドライン」です。 本制度は、このガイドラインに基づき策定したクラウド情報セキュリティ管理基準 に基づいて、監査を行っています。制度の詳細を検討する中で国際標準化動向につい ても把握し、制度に反映したものです。わが国が提唱しているという点を生かし、国 際的な動向を先取りした制度といえます。国際的な展開を行っているクラウドサービ ス利用者は、本制度で信頼を獲得したサービスに基づき、世界でクラウドサービスを 利用できます。
4 制度の詳細は、下記のホームページをご覧ください。 http://jcispa.jasa.jp/cloud_security/ クラウド情報セキュリティ管理基準は、下記のホームページに掲載しています。 http://jcispa.jasa.jp/downloadf/cs_management_standard_2013.pdf 今後、各事業者がリスク対象をさらに広げ基本言明要件がすべて満たされるよう、監査 支援ツールの開発などによる監査範囲の拡大と精度の向上に努力します。更に、外部監査 人が内部監査について評価した結果を踏まえて、より信頼性の高い監査であると認めるCS ゴールドマークの発行を計画しています。 CS シルバーマーク取得サービス一覧(予定を含む) 番号 サービス名 企業名 1 cloudage ElasticCUVIC 伊藤忠テクノソリューションズ株 式会社 2 IIJ GIO(ジオ)サービス 株式会社インターネットイニシア ティブ 3 STRAVIS プラットフォーム アド ミ ニ ス ト レ ー シ ョ ン サ ー ビ ス (PAS) 株式会社電通国際情報サービス 4 ニフティクラウド ニフティ株式会社 5 Biz ひかりクラウド 東日本電信電話株式会社 6 Hitachi Cloud 「プラットフォームリソース提供サービス」 株式会社日立製作所 7 ビットアイルクラウド 株式会社ビットアイル ※ (注) 企業名あいうえお順、※は取得予定
5 (1) 政府機関からのエンドースメント ■総務省からのエンドースメント JASA-クラウドセキュリティ推進協議会において、CS シルバーマークを発行されますこ とを心よりお喜び申し上げます。 総務省では、「クラウドサービス提供における情報セキュリティ対策ガイドライン」を昨 年4月に策定するなど、安全なクラウドサービス市場の推進に努めているところです。 標準的な監査を定めるとともに、監査の負荷を軽減することで、クラウドサービスのセ キュリティ品質を維持するCS シルバーマークの取組みが普及することにより、利用者が安 全なサービスを安心して利用できる環境が整備され、クラウドサービス市場がより一層発 展していくことを期待しております。 総務省 情報流通行政局 情報セキュリティ対策室長 赤阪 晋介 ■経済産業省からのエンドースメント 特定非営利活動法人 日本セキュリティ監査協会(JASA)が、CS シルバーマークの発 行を開始されることを、お喜び申し上げます。 クラウドサービスは、コンピュータ技術の飛躍的な進歩等を受け、ますます利用される ことが予想されますが、一方で大変多くの方に利用されるプラットフォームとしてそのセ キュリティを確保することは非常に重要な課題です。 CS シルバーマークは、経済産業省で策定した「クラウドサービス利用のための情報セキ ュリティマネジメントガイドライン」に基づきJASA が策定した管理基準で定める基本リ スクについて適正な対策が行われていることを内部監査により確認した結果をJASA が認 定するものです 現在、JASA において、内部監査の対象とする基本リスクを拡大し、また監査結果の適正 性を外部監査人が確認するスキームについても検討していると聞いています。 こうした取組が実を結び、信頼できるクラウドサービスの利用が一層推進して行かれま すことを心から期待しております。 経済産業省 商務情報政策局 情報セキュリティ政策室長 上村 昌博
6 (2) CS シルバーマーク取得企業からのエンドースメント ■伊藤忠テクノソリューションズ株式会社からのエンドースメント 伊藤忠テクノソリューションズ株式会社は、JASA-クラウドセキュリティ推進協議会によ るクラウド情報セキュリティ監査制度の開始を心より歓迎致します。 また、クラウド環境上のゲストサーバの運用までをトータルにカバーする、当社の 「ElasticCUVIC(エラスティックキュービック)」が、CS シルバーマークを取得したことを 喜ばしく思います。 当社は、「お客様IT 投資の 変革・成長 へのシフト」を支援してまいるべく、各種 IT サ ービスを展開しております。今回、CS シルバーマークの発行を受けたことで、お客様 IT システムの維持・運用のためのIT 投資を、より一層安心してお任せ頂けるようになったも のと確信しております。 当社は今後も本監査制度に取り組み、監査の対象リスクを拡大していく所存です。 伊藤忠テクノソリューションズ株式会社 執行役員 クラウド・セキュリティ事業推進本部長 藤岡 良樹 ■株式会社インターネットイニシアティブからのエンドースメント 株式会社インターネットイニシアティブ(IIJ)は、JASA-クラウドセキュリティ推進協 議会によるCS シルバーマークの使用許諾を行う、クラウド情報セキュリティ監査制度の開 始を心より歓迎いたします。 本監査制度の開始は、サービスの信頼性やリスク対策状況の把握精度を高め、クラウド 利用環境の整備に貢献するものと確信しております。 弊社のクラウドサービスである「IIJ GIO(ジオ)サービス」は、クラウドファースト時 代に安心してご利用いただけるように品質向上と透明性の確保に努めております。本監査 制度と協調して、IIJ はこれからも安全なクラウド利用の促進に貢献してまいります。 株式会社インターネットイニシアティブ 専務執行役員 時田 一広
7 ■株式会社電通国際情報サービスからのエンドースメント 株式会社電通国際情報サービス(以下、ISID)は日本セキュリティ監査協会による CS マーク制度正式運用開始を心より歓迎いたします。 ISID のクラウドサービス「CLOUDiS」は、金融業、製造業、サービス業をはじめ多く のお客様において、高いセキュリティ水準が求められる重要な業務システムにご活用いた だいております。ISID は、今後も積極的に当協議会の活動に参画し、日本のクラウド業界 のセキュリティとガバナンスの向上に貢献するとともに、お客様にとって安心・安全なク ラウドインテグレーションおよび運用サービスを提供してまいります。 株式会社電通国際情報サービス 上席執行役員 ビジネスソリューション事業部長 小谷 繁弘 ■ニフティ株式会社からのエンドースメント ニフティ株式会社は、この度の発表を心より歓迎いたします。 今年で 5 周年を迎えた『ニフティクラウド』は、多くのお客様へ安全・安心なクラウド サービスを提供するため、これまでもセキュリティ対策に力を注いでまいりました。 業種・業界を問わずクラウドサービスの普及が広がっている昨今、単に事業者がセキュ ティ対策に努めるだけではなく、お客様への適切な情報提供によってサービスの透明性を 高める取り組みも極めて重要であると考えています。 この度の認定をきっかけとしてCS マークの普及が進み、業界全体の信頼性、透明性が向 上していくことを期待しております。 今後も『ニフティクラウド』は、クラウドセキュリティ推進協議会での活動に則し、高 品質で安心・安全なクラウドサービスを提供してまいります。 ニフティ株式会社 クラウド事業部長 上野 貴也 ■東日本電信電話株式会社からのエンドースメント 東日本電信電話株式会社(以下、NTT 東日本)は、クラウドセキュリティ推進協議会の 発足以来、会員として活動を続けています。 NTT 東日本の「Biz ひかりクラウド」サービスは、大規模なお客様だけでなく中小規模 のお客様にも、ご利用いただけるよう「セキュリティ」と「サポート」を高いレベルで両 立し、お客さまの課題解決に貢献しています。 NTT 東日本は、クラウドセキュリティ推進協議会の活動を通じ、お客様に安心・安全に クラウドサービスを提供してまいります。 東日本電信電話株式会社 理事 ビジネス&オフィス営業推進本部 ソリューションエンジニアリング部長 西 勝
8 ■株式会社日立製作所からのエンドースメント 日立製作所は、JASA-クラウドセキュリティ推進協議会による所定の監査を実施したクラ ウドサービス事業者に対するCS シルバーマーク発行の開始を心より歓迎いたします。 日立は、長年培ってきたインフラ技術と最先端のIT を有機的に融合させ、より高度な社 会インフラを築きあげていく「社会イノベーション事業」における中核としてクラウドを 位置づけ、高信頼なクラウドサービス「Hitachi Cloud」を提供しています。また、日立は JASA-クラウドセキュリティ推進協議会に参画し、活動の成果を自社サービスに反映するこ とでセキュリティの強化を図ってきました。このたびのCS シルバーマークの取得をマイル ストーンとして、高度なセキュリティサービスの提供と、日本発のクラウドセキュリティ の国際標準化、クラウドサービスの健全な発展に寄与するよう努めてまいります。 株式会社日立製作所 情報・通信システム社 クラウドサービス事業部長 小野 猶生 ■株式会社ビットアイルからのエンドースメント 株式会社ビットアイルは、日本セキュリティ監査協会のクラウドセキュリティ推進協議 会によるCS シルバーマークの発行開始を歓迎いたします。 ビットアイルのクラウドサービス「ビットアイルクラウド」は、クラウドセキュリティ 推進協議会が要求するクラウド情報セキュリティガイドラインを満たす、高セキュリテ ィ・冗長性を確保したお客様専用プライベートクラウド環境です。 ビットアイルは今後も、お客様に安心してご利用頂けるクラウドサービスの提供とクラウ ドセキュリティ推進協議会の活動に寄与してまいります。 株式会社ビットアイル 執行役員 クラウド・IT ソリューション本部長 成迫 剛志 (3)本件に関するお問い合わせ 特定非営利活動法人 日本セキュリティ監査協会(JASA) 事務局 担当:永宮 〒135-0016 東京都江東区東陽 3-23-21 プレミア東陽町ビル
TEL:03-6675-3820 FAX:03-6675-3819 E-mail:office@jasa.jp
本ニュースリリースは下記からご確認いただけます。
http://www.jasa.jp/news/downf/news_20150511.pdf
