Azureの第三者認証について
「第三者認証」とは
第三者認証とは、組織外の利害関係のない第三者によって公正公平に審査される認証を指しています。外部機関による第三者認証をうけることで、取引先・消費者に向けて信頼性の獲得が期待できるというメリットがあります。
クラウド環境(Azure)における第三者認証
IT分野でも第三者認証は一般的となっています。近年クラウドマーケットの成長に伴い、クラウド利用者にとって、その利便性だけでなくクラウドサービス事業者ごとのサービスレベル・リスクレベルの特徴が重要視されているためです。情報漏洩やマルウェア感染などのセキュリティ対策やデータ保護に関するものをはじめ、IT分野対象の第三者認証には多くの制度が存在します。
Microsoft社の提供するクラウドサービスAzureでも、グローバル認証から各国固有認証、業界固有認証まで90以上の国内外様々な第三者認証を受けており、AzureのISO/IEC認証数は業界トップを誇ります。
Azureが認証を受けている主な第三者認証
今回は、Microsoft Azureが取得している90以上あるコンプライアンス製品のなかで、日本に直接関係の深いグローバル、日本固有、日本における業界固有の3つの分野での認証の基本的な内容を紹介しています。Azureが具体的にどのような監査・認証を受けているのか少しでも理解いただければと思います。
<Azureにおけるグローバルな第三者認証>
・CISベンチマーク
CISとは、「Center for Internet Security」の略で、インターネット・セキュリティ標準化に取り組む非営利団体です。CISが、システムを安全に構成してシステムやデータを守るためのセキュリティ規格として発信しているのがCISベンチマークです。
・CSA STAR
CSAとは「Cloud Security Alliance」の略で、クラウドプロバイダのセキュリティ対応についてその透明性を確保するための活動を国際的に行っている非営利法人です。STARは、「Security, Trust & Assurance Registry(クラウドセキュリティ認証制度)」の略で、クラウドサービスプロバイダのセキュリティを第三者が評価・検証する認証プログラムです。CSA STAR認証はISO/IEC27001認証の補完的位置付けであるため(アドオン認証)、前提条件としてISO/IEC27001認証取得済みもしくは同時審査が求められます。
ISOとは
ISOとは「International Organization for Standardization(国際標準化機構)」を指します。「国際的交流を容易にし、経済的活動分野の協力を発展させるために世界的な標準化を図ること」を目的に、電気技術分野以外の工業規格を策定する民間非政府組織で、現在163カ国が参加しています。世界最大の標準化組織で、管理する規格は22,000以上になりす。
IECとは
「International Electrotechnical Commission(国際電気標準会議)」を指します。ISOでは取り扱いのない電気・電子技術分野での国際規格の策定を行っている国際標準化機関です。現在84ヵ国が参加しており、管理規格は7,500以上になります。
ISO/IECとは
国際規格作成のための規則群、規格適合(ISO/IEC17000シリーズ)、情報技術(ISO/IEC JTC1)、エネルギー分野(ISO/IEC JTC2)などは、ISO(国際標準化機構)とIEC(国際電気標準会議)が共同で開発を行っています。そのため、「ISO/IEC」は共同開発されている規格を表しています。
・ISO/IEC 20000
ITサービスマネジメントシステム(ITSMS)に関する国際規格です。組織の提供するITサービスの内容・リスク等を明確にし、サービスの継続的管理、高い効率性、継続的改善を実現するための枠組みを示しています。
・ISO 22301
事業継続マネジメントシステム(BCMS)に関する国際規格です。地震・洪水・台風など自然災害をはじめ、システムトラブル・感染症の流行・停電・火災といった事業継続に対する潜在的な脅威に備えて、効率的かつ効果的な対策を行うための包括的な枠組みを示しています。
・ISO/IEC 27001
一般的な情報セキュリティの構築・維持のための情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報の機密性・完全性・可用性をマネジメントし、情報を有効活用するための組織の枠組みを示しています。
・ISO/IEC 27017
ISO/IEC 27001をクラウドサービスにも対応できるように強化し、クラウドサービスに関する情報セキュリティ管理策の規格です。
・ISO/IEC 27701
個人情報保護管理システム(PIMS)に関する国際規格です。ISO/IEC 27001を取得していることを前提として、個人情報を管理し継続的に改善するためのシステムを整備・運用する組織の枠組みを示しています。
・ISO/IEC 27018
クラウドサービス上の個人情報保護に関する国際規格です。ISO/IEC 27001を取得していることを前提として、その適応範囲においてクラウド上に保管する個人情報保護に関して規格に沿った管理を行う組織の枠組みを示しています。
・ISO 9001
品質マネジメントシステム(QMS)に関する国際規格です。一貫した製品・サービスを提供することで顧客満足を向上させることを目的としています。世界で業種業態問わず最も普及しているマネジメントシステム規格でもあり、全世界で170ヵ国以上・100万以上の組織が利用しています。
SOCとは
SOCとは、「Service Organization Controls」の略称です。直訳すると「サービス組織の統制」です。クラウドサービスプロバイダが標準化された基準に基づき、受託業務に係る組織の内部統制の保証報告書を作成し、サービス利用企業にSOC報告書として提供します。SOC報告書の公開範囲はSOCの種類に応じて異なり、SOC1/SOC2は受託企業や委託会社及びその監査人等、SOC3は不特定の外部に公開されます。
・SOC 1
SOC1は、クラウドサービス利用会社における財務報告(財務諸表監査等)や内部統制評価での利用を目的としています。
・SOC 2
財務諸表に直接関連しない、セキュリティや機密保持、アベイラビリティ(可用性)などの統制評価を目的としています。米国公認会計士協会(AICPA)が定めた評価の規準である「セキュリティ・可用性・処理のインテグリティ・機密保持・プライバシー」の五つで構成された「Trustサービスの原則と規準」に基づいて実施されます。外部監査による評価を得ることで、クラウドサービスプロバイダが提供するサービスの品質をより的確に利用企業へ伝えるためのものです。
・SOC 3
SOC3は、評価基準はSOC2と同様ですが、企業公開のためではなく一般公開を目的とした報告書が作成されます。
・WCAG 2.0
WCAGとは「Web Content Accessibility Guidelines」の略称です。ウェブコンテンツを様々な障害を持つ人にも使いやすいようにするため(ウェブアクセシビリティ)のガイドラインである。ガイドラインに従うことによって結果的に障害を持つ人だけでなく、高齢者であったり、ほとんどの利用者全般にとって利用しやすいウェブコンテンツとなるものである。インターネットのための主要な国際標準化機構であるWorld Wide Web Consortium(W3C)のWeb Accessibility Initiative(WAI)によって公開されている。現在最新版は2018年6月に公開されているWCAG 2.1である。WCAG 2.0は、ひとつ前のバージョンではあるが、2012年10月に「ISO/IEC 40500:2012」としてISO標準となっている。
<Azureにおける日本固有の第三者認証>
・クラウドセキュリティ(CS)ゴールドマーク
日本で初めての外部監査に基づいたクラウドサービスブロバイダを対象としたセキュリティに関する認定制度です。情報セキュリティを強化するために総務省と経済産業省が設立した非営利法人「日本セキュリティ監査協会 (JASA)」 によって認定されます。日本マイクロソフトが国内で初めて取得しました。
・マイナンバー
2016年1月マイナンバー法が導入されました。それに伴い特定個人情報保護機関として個人情報保護委員会 (PPC) が設立されました。 マイナンバー法の順守を監督/監視するPPCは、マイナンバーデータを含む個人データを組織が適切に処理し、適切に保護するために、マイナンバーガイドラインを発行しました。これはAzureが顧客がマイナンバー法を順守するのに役立つ技術的および組織的なセキュリティセーフガードを実装していることを示しています。
<Azureにおける業界特有の第三者認証>
・FISC
財団法人金融情報システムセンター(FISC)は、日本の金融機関向けコンピューターシステムの安全性の向上を目的として設立された非営利組織です。
・PCI DSS
PCI DSSは、「Payment Card Industry Data Security Standards」の略で、
国際カードブランド5社(JCB / American Express / Discover / Mastercard / VISA)によって共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用・管理されています。クレジットカード情報および取り引き情報を保護するために策定されたクレジット業界におけるグローバルセキュリティ基準です。
