2015 年 5 月 11 日特定非営利活動法人日本セキュリティ監査協会 NEWS RELEASE CS シルバーマークの発行についてクラウド情報セキュリティ監査制度に基づき 7 会員のクラウドサービスに対する情報セキュリティ監査を認定し CS シルバーマークの使用を許諾特定非営利活動法人日

Size: px

Start display at page:

Download "2015 年 5 月 11 日特定非営利活動法人日本セキュリティ監査協会 NEWS RELEASE CS シルバーマークの発行についてクラウド情報セキュリティ監査制度に基づき 7 会員のクラウドサービスに対する情報セキュリティ監査を認定し CS シルバーマークの使用を許諾特定非営利活動法人日"

しょうすけたけはな
5 years ago
Views:

そのサービスの情報セキュリティ監査の品質が協議会の定める水準に達していることを認定し CS シルバーマークの使用許諾を行います CS シルバーマークは以下の条件を満たすクラウドサービスに対して使用許諾するものです 1

基本リスクへの対策を確実に実施している旨を記載した言明書や関連する販促資料等に CS シルバーマークを添付することができます CS シルバーマークの使用許諾を行うクラウド情報セキュリティ監査制度は経済産業省が平成 15

1 2015 年 5 月 11 日特定非営利活動法人日本セキュリティ監査協会 NEWS RELEASE CS シルバーマークの発行についてクラウド情報セキュリティ監査制度に基づき 7 会員のクラウドサービスに対する情報セキュリティ監査を認定し CS シルバーマークの使用を許諾特定非営利活動法人日本セキュリティ監査協会 ( 会長土居範久東京都江東区 ) の下部組織である JASA-クラウドセキュリティ推進協議会 ( 協議会長大木榮二郎 ; 以下当協議会 ) はこのたびクラウドサービス事業者 7 社に対しそのサービスの情報セキュリティ監査の品質が協議会の定める水準に達していることを認定し CS シルバーマークの使用許諾を行います CS シルバーマークは以下の条件を満たすクラウドサービスに対して使用許諾するものです 1 当協議会が定める基本リスクに対し必要な管理策を実施していること 2 実施状況について標準監査に準拠した内部監査により確実であると確認されていること使用を許諾されたクラウドサービス事業者は対象とするサー CS シルバーマークビスに関して基本リスクへの対策を確実に実施している旨を記載した言明書や関連する販促資料等に CS シルバーマークを添付することができます CS シルバーマークの使用許諾を行うクラウド情報セキュリティ監査制度は経済産業省が平成 15 年に創設した情報セキュリティ監査制度をクラウドサービスに適用したもので企業の一般的なクラウドサービス利用を念頭に設けられました本制度の特徴は以下の 5 点にありますサービスごとに信頼性を表明しますリスクごとに対策の実施状況を確認します標準的な監査を定めることで監査の品質を確保しますクラウドサービスの良さを生かす効率的な監査を行いますクラウドサービスに関するセキュリティの国際標準を先取りしています 1

2 本制度ではクラウドサービス事業者に対応すべきリスク ( 基本リスク ) とそれに対する管理策群 ( 基本言明要件といいます ) を実施しその実施が確実であることを監査で確認することを求めています監査はクラウド情報セキュリティ管理基準に基づいて行われる監査で監査人や監査手続など協議会が定める品質要件を満たす必要がありますこれらの要件を満たす監査を行ったことを届け出たクラウドサービス事業者に安全である旨の言明を認めマークの使用を認める制度です以下特徴について詳細に説明します 1. サービスごとに信頼性を表明しますクラウドサービス事業者が種々のサービスを行っている場合サービスによってリスク管理の水準が異なることがありますこのうち企業が一般的に利用するサービスとして必要なリスク対策をしているサービスについて言明を行います情報セキュリティに関して事業者を認定する制度が一般的ですが本制度ではサービスごとに信頼性の表明を行いますクラウドサービス利用者は多様なサービスのうちから自らに適したサービスを選択することができます 2. リスクごとに対策の実施状況を確認しますクラウドサービス利用者が懸念するのはどの様なリスクがありそのリスクについて対策が施されているかにあります一方クラウドサービス事業者はどのような対策を行っているかとしか答えることができませんでしたこれまでは残念ながらクラウドサービス利用者が期待する情報に応えられなかったのですまた仮にクラウドサービス利用者が対策の詳細を尋ねてもクラウドサービス事業者は悪意のある者に攻撃の手掛かりを与える恐れがあるため相互に信頼がないと内容を開示することができません新たなクラウドサービスを選択しようとする利用者には情報セキュリティに関する情報が得られにくい状況だったといえます本制度でも対策の詳細は開示されませんが監査を通じてリスク毎に対策が行われているかを確認することができますこれを通じてクラウドサービス利用者とクラウドサービス事業者がリスクという共通の言葉で情報交換することができます 3. 標準的な監査を定めることで監査の品質を確保します監査には専門的な知識経験が必要です特に情報セキュリティ監査は情報システムについての知見と監査の技術知識の二つが不可欠です新しい技術を用いるクラウドサービスに対してはクラウドサービス固有の技術についての知識も欠かせません本制度ではクラウドサービスに関わる情報セキュリティの技術者に監査人の教育を施し監査人としての資格を認定していますさらに監査経験が少ない監査人 2

3 でも十分な監査を実施できるように管理策ごとに監査標準手続を定めましたまたクラウドサービスの情報セキュリティ技術者が事業部門に所属することも多いため監査の中立性を保つための監査人の独立性ガイドラインを定めています一方経営者がクラウド情報セキュリティに関するガバナンスを利かせているかについての確認書の提出を求め経営として責任を取っていることを確認していますこうした多様な観点からチェックすることで高い品質の監査が行われるようにしています 4. クラウドサービスの良さを生かす効率的な監査を行いますクラウドサービスを提供するコンピュータシステムは複雑で巨大なシステムですこのため情報セキュリティ監査も膨大な作業となります技術的にみるとリスク対策はハードウェアに関わる物理層コンピュータ資源を共有リソースとして活用するための仮想化層など対象とする層 ( レイヤー ) により異なりますこのため管理策は層別に行う必要がありますリスク対策としての基本言明要件を評価するクラウド情報セキュリティ管理基準の詳細管理策は約 1,000 の項目で構成されています監査人はこれらの項目から自社の環境にあった項目を選択して監査を行いますこれらを外部委託すると企業としての負担が大きくなります一方でクラウドサービス事業者は内部で様々な監査を別途行っています情報セキュリティ管理基準を基本として他の監査基準との項目別対照に基づいて標準監査として行うことで監査結果の相互利用ができますこれまで同じ内容を異なった監査ごとに何回も評価していましたが 1 回の評価作業で済ませられるので監査全体の負荷を減らすことができますこれによりクラウドサービス利用者は監査費用の価格転嫁などを受けずに信頼できるサービスを利用できるようになります 5. クラウドサービスに関するセキュリティの国際標準を先取りしています日本が提案して策定作業が進められている ISO/IEC 27017( クラウド情報セキュリティの国際標準 ) が今年秋にも発行される見通しですこの規格の元となっているのが経済産業省が 2011 年に公表した (2013 年改訂 ) クラウドサービス利用のための情報セキュリティマネジメントガイドラインです本制度はこのガイドラインに基づき策定したクラウド情報セキュリティ管理基準に基づいて監査を行っています制度の詳細を検討する中で国際標準化動向についても把握し制度に反映したものですわが国が提唱しているという点を生かし国際的な動向を先取りした制度といえます国際的な展開を行っているクラウドサービス利用者は本制度で信頼を獲得したサービスに基づき世界でクラウドサービスを利用できます 3

4 制度の詳細は下記のホームページをご覧くださいクラウド情報セキュリティ管理基準は下記のホームページに掲載しています今後各事業者がリスク対象をさらに広げ基本言明要件がすべて満たされるよう監査支援ツールの開発などによる監査範囲の拡大と精度の向上に努力します更に外部監査人が内部監査について評価した結果を踏まえてより信頼性の高い監査であると認める CS ゴールドマークの発行を計画しています CS シルバーマーク取得サービス一覧 ( 予定を含む ) 番号サービス名企業名 1 cloudage ElasticCUVIC 伊藤忠テクノソリューションズ株式会社 2 IIJ GIO( ジオ ) サービス株式会社インターネットイニシアティブ 3 STRAVIS プラットフォームアド株式会社電通国際情報サービスミニストレーションサービス (PAS) 4 ニフティクラウドニフティ株式会社 5 Biz ひかりクラウド東日本電信電話株式会社 6 Hitachi Cloud 株式会社日立製作所フラットフォームリソース提供サーヒス 7 ビットアイルクラウド株式会社ビットアイル ( 注 ) 企業名あいうえお順は取得予定 4

5 (1) 政府機関からのエンドースメント総務省からのエンドースメント JASA-クラウドセキュリティ推進協議会において CS シルバーマークを発行されますことを心よりお喜び申し上げます総務省ではクラウドサービス提供における情報セキュリティ対策ガイドラインを昨年 4 月に策定するなど安全なクラウドサービス市場の推進に努めているところです標準的な監査を定めるとともに監査の負荷を軽減することでクラウドサービスのセキュリティ品質を維持する CS シルバーマークの取組みが普及することにより利用者が安全なサービスを安心して利用できる環境が整備されクラウドサービス市場がより一層発展していくことを期待しております総務省情報流通行政局情報セキュリティ対策室長赤阪晋介経済産業省からのエンドースメント特定非営利活動法人日本セキュリティ監査協会 (JASA) が CS シルバーマークの発行を開始されることをお喜び申し上げますクラウドサービスはコンピュータ技術の飛躍的な進歩等を受けますます利用されることが予想されますが一方で大変多くの方に利用されるプラットフォームとしてそのセキュリティを確保することは非常に重要な課題です CS シルバーマークは経済産業省で策定したクラウドサービス利用のための情報セキュリティマネジメントガイドラインに基づき JASA が策定した管理基準で定める基本リスクについて適正な対策が行われていることを内部監査により確認した結果を JASA が認定するものです現在 JASA において内部監査の対象とする基本リスクを拡大しまた監査結果の適正性を外部監査人が確認するスキームについても検討していると聞いていますこうした取組が実を結び信頼できるクラウドサービスの利用が一層推進して行かれますことを心から期待しております経済産業省商務情報政策局情報セキュリティ政策室長上村昌博 5

6 (2) CS シルバーマーク取得企業からのエンドースメント伊藤忠テクノソリューションズ株式会社からのエンドースメント伊藤忠テクノソリューションズ株式会社は JASA-クラウドセキュリティ推進協議会によるクラウド情報セキュリティ監査制度の開始を心より歓迎致しますまたクラウド環境上のゲストサーバの運用までをトータルにカバーする当社の ElasticCUVIC( エラスティックキュービック ) が CS シルバーマークを取得したことを喜ばしく思います当社はお客様 IT 投資の変革成長へのシフトを支援してまいるべく各種 IT サービスを展開しております今回 CS シルバーマークの発行を受けたことでお客様 IT システムの維持運用のための IT 投資をより一層安心してお任せ頂けるようになったものと確信しております当社は今後も本監査制度に取り組み監査の対象リスクを拡大していく所存です伊藤忠テクノソリューションズ株式会社執行役員クラウドセキュリティ事業推進本部長藤岡良樹株式会社インターネットイニシアティブからのエンドースメント株式会社インターネットイニシアティブ (IIJ) は JASA-クラウドセキュリティ推進協議会による CS シルバーマークの使用許諾を行うクラウド情報セキュリティ監査制度の開始を心より歓迎いたします本監査制度の開始はサービスの信頼性やリスク対策状況の把握精度を高めクラウド利用環境の整備に貢献するものと確信しております弊社のクラウドサービスである IIJ GIO( ジオ ) サービスはクラウドファースト時代に安心してご利用いただけるように品質向上と透明性の確保に努めております本監査制度と協調して IIJ はこれからも安全なクラウド利用の促進に貢献してまいります株式会社インターネットイニシアティブ専務執行役員時田一広 6

7 株式会社電通国際情報サービスからのエンドースメント株式会社電通国際情報サービス ( 以下 ISID) は日本セキュリティ監査協会による CS マーク制度正式運用開始を心より歓迎いたします ISID のクラウドサービス CLOUDiS は金融業製造業サービス業をはじめ多くのお客様において高いセキュリティ水準が求められる重要な業務システムにご活用いただいております ISID は今後も積極的に当協議会の活動に参画し日本のクラウド業界のセキュリティとガバナンスの向上に貢献するとともにお客様にとって安心安全なクラウドインテグレーションおよび運用サービスを提供してまいります株式会社電通国際情報サービス上席執行役員ビジネスソリューション事業部長小谷繁弘ニフティ株式会社からのエンドースメントニフティ株式会社はこの度の発表を心より歓迎いたします今年で 5 周年を迎えたニフティクラウドは多くのお客様へ安全安心なクラウドサービスを提供するためこれまでもセキュリティ対策に力を注いでまいりました業種業界を問わずクラウドサービスの普及が広がっている昨今単に事業者がセキュティ対策に努めるだけではなくお客様への適切な情報提供によってサービスの透明性を高める取り組みも極めて重要であると考えていますこの度の認定をきっかけとして CS マークの普及が進み業界全体の信頼性透明性が向上していくことを期待しております今後もニフティクラウドはクラウドセキュリティ推進協議会での活動に則し高品質で安心安全なクラウドサービスを提供してまいりますニフティ株式会社クラウド事業部長上野貴也東日本電信電話株式会社からのエンドースメント東日本電信電話株式会社 ( 以下 NTT 東日本 ) はクラウドセキュリティ推進協議会の発足以来会員として活動を続けています NTT 東日本の Biz ひかりクラウドサービスは大規模なお客様だけでなく中小規模のお客様にもご利用いただけるようセキュリティとサポートを高いレベルで両立しお客さまの課題解決に貢献しています NTT 東日本はクラウドセキュリティ推進協議会の活動を通じお客様に安心安全にクラウドサービスを提供してまいります東日本電信電話株式会社理事ビジネス & オフィス営業推進本部ソリューションエンジニアリング部長西勝 7

8 株式会社日立製作所からのエンドースメント日立製作所は JASA-クラウドセキュリティ推進協議会による所定の監査を実施したクラウドサービス事業者に対する CS シルバーマーク発行の開始を心より歓迎いたします日立は長年培ってきたインフラ技術と最先端の IT を有機的に融合させより高度な社会インフラを築きあげていく社会イノベーション事業における中核としてクラウドを位置づけ高信頼なクラウドサービス Hitachi Cloud を提供していますまた日立は JASA-クラウドセキュリティ推進協議会に参画し活動の成果を自社サービスに反映することでセキュリティの強化を図ってきましたこのたびの CS シルバーマークの取得をマイルストーンとして高度なセキュリティサービスの提供と日本発のクラウドセキュリティの国際標準化クラウドサービスの健全な発展に寄与するよう努めてまいります株式会社日立製作所情報通信システム社クラウドサービス事業部長小野猶生株式会社ビットアイルからのエンドースメント株式会社ビットアイルは日本セキュリティ監査協会のクラウドセキュリティ推進協議会による CS シルバーマークの発行開始を歓迎いたしますビットアイルのクラウドサービスビットアイルクラウドはクラウドセキュリティ推進協議会が要求するクラウド情報セキュリティガイドラインを満たす高セキュリティ冗長性を確保したお客様専用プライベートクラウド環境ですビットアイルは今後もお客様に安心してご利用頂けるクラウドサービスの提供とクラウドセキュリティ推進協議会の活動に寄与してまいります株式会社ビットアイル執行役員クラウド IT ソリューション本部長成迫剛志 (3) 本件に関するお問い合わせ特定非営利活動法人日本セキュリティ監査協会 (JASA) 事務局担当 : 永宮東京都江東区東陽プレミア東陽町ビル TEL: FAX: office@jasa.jp 本ニュースリリースは下記からご確認いただけます以上 8

東日本電信電話株式会社

東日本電信電話株式会社 2017 年 10 月 4 日クラウドゲートウェイクロスコネクトで Microsoft Azure の閉域接続が利用可能に ~2018 年 1 月 31 日までにお申し込みのお客さまは月額利用料を 3 ヶ月間割引き ~ NTT 東日本はフレッツ VPNからパブリッククラウドサービスへの接続を可能とするクラウドゲートウェイクロスコネクトの接続先として日本マイクロソフト株式会社 ( 以下日本マイクロソフト