インターネットを経由して大容量データやソフトウェアを安価・迅速にアクセスできるクラウド技術。スマートフォンやIoT機器の普及や、基幹業務システムのクラウド化移行など、社会的インフラとなりつつある。一方で利用者と管理者が隔離されていることでデータ管理が見えにくく、セキュリティ面で不安を感じ、サービス導入に慎重な姿勢をとる企業も多い。こうしたなかで注目されているのがクラウドサービスのセキュリティ国際規格「ISO/IEC 27017」。日本国内では日本情報経済社会推進協会（JIPDEC）が「ISMSクラウドセキュリティ認証（JIP-ISMS 517-1.0）」として要求事項にとりまとめ公開し、全国26の審査機関を一般財団法人情報マネジメントシステム認定センター（ISMS-AC）が認定している。審査機関の一つ、一般財団法人 日本品質保証機構（JQA）でクラウドセキュリティ認証の審査業務に携わる、審査事業センター 情報審査部の江澤雅男氏に取得企業の動向を伺った。
----------------

「ISMSクラウドセキュリティ認証」とは？

情報セキュリティマネジメントシステムを認証する規格は幾つかあるが、国際規格には「ISO/IEC 27001」が広く知られる。ISO規格の中でも情報セキュリティ認証の人気は高い。品質マネジメントシステム（ISO 9001）や環境マネジメントシステム（ISO 14001）の認証取得がひと段落しつつあるのに対し、情報セキュリティマネジメントシステム（ISO/IEC 27001）の認証取得企業は年々増加している。JQAでも、直近でも認証取得検討の問い合わせやセミナー参加者の人数が増えているという。JQAで審査業務を担当する江澤雅男氏は「これまではIT系企業がほとんどだったものが、最近では広告代理店やネット通販会社まで裾野が広がってきている」とみる。

さらに近年増加しているのがクラウドサービスのセキュリティ規格「ISO/IEC 27017（クラウドサービスのための情報セキュリティ管理策の実践の規範）」だ。日本国内では一般財団法人日本情報経済社会推進協会（JIPDEC）情報マネジメントシステム認定センター（ISMS-AC）が「ISMSクラウドセキュリティ認証（JIP-ISMS 517-1.0）」として要求事項にとりまとめて2016年8月に制定し、2018年７月3日時点で64社が「ISMSクラウドセキュリティ認証」を取得している。JQAでも2016年８月から「ISO/IEC 27001」のオプションとして「ISMSクラウドセキュリティ認証」の審査を開始しており、これまで15社を認証した。

現状では「ISMSクラウドセキュリティ認証」を取得、活用しているのはどのような企業か。認証取得の形態にはサービス提供者（CSP）・サービス利用者（CSC）・サービス提供者兼利用者（CSP＆CSC）の３つに分かれる。2018年５月末時点で認証を取得した全国58社のうち、その内訳はCSPが22社、CSP＆CSCが28社、CSCが8社となっている。江澤氏によると、CSPのみの認証取得する事業者にはサーバ−管理者やデータセンターなどいわゆるIaaS・PaaSなどクラウドのインフラ基盤を提供する大手企業の事業者が多い（下図のパターンA）のに対して、CSP＆CSCはクラウドを使った法人向けのソリューションサービスいわゆるSaaSを提供しているベンチャー企業や中小企業が多い（下図のパターンB）。CSCのみを取得する事業者の多くはクラウドサービスを利用してシステム開発を行う企業が多いという（下図のパターンC）。

CSP＆CSC事業者は、ベンチャー企業・中小企業が、ユーザーの大手企業に対して自社のセキュリティ体制を外部にアピールする意図がある。「近年、官公庁が入札条件としてISO/IEC 27001（ISMS）認証を求めるケースもあり、情報マネジメントシステムに関する認証取得ニーズは高まっている。特にクラウドセキュリティの第三者認証は新しい規格のため、他社との競争優位をつくる効果も大きいのでは」と江澤氏はみる。