多くの業種で円滑にビジネスを行う手段の一つとしてクラウドサービスの活用が一般化しつつあります。そのため、クラウドサービスを提供する事業者として企業に自社を選択してもらうには、競合との差別化が欠かせません。
本記事では、競合との差別化をするうえで重要である高セキュリティのアピールにつながる CS マークについてお伝えします。 CS マークの概要、種類、 ISMS クラウドキュリティ認証との違いなどを解説しますのでクラウドサービス提供事業者の方はぜひ、参考にしてください。
CS マーク(クラウドセキュリティマーク)とは
CS マークとは、クラウドサービスを提供する事業者向けの情報セキュリティ監査制度です。 JASA クラウドセキュリティ推進協議会(以下 JASA )が定めた、クラウド情報セキュリティ監査の基準を満たしている事業者に付与されます。
CS マークは、クラウドサービス特有のセキュリティリスクに対応するため、 2010 年に経済産業省主導のもとに設立された JASA が運用を開始。その後、クラウドサービスの普及に伴い、 2015 年には CS マークの改訂が行われ、現在に至っています。
CSマークの種類
CS マークの種類は、ゴールドとシルバーの 2 つです。ここではそれぞれの種類の概要について解説します。
ゴールド
CS マークゴールドとは、クラウド情報セキュリティ外部監査人により、外部評価手続きに従い、後述する内部監査の品質が評価された場合に付与されるものです。
CS マークゴールドは、内部監査の結果を外部の第三者が評価し、 JASA が受理して初めて取得できるもののため、シルバーよりも高い信頼度を得られます。
なお、 CS マークゴールドは、 JASA の会員でなくても取得が可能です。
シルバー
CS マークシルバーとは、内部監査の要件を満たし、 JASA が受理した場合に付与されるもので、具体的な要件は次のとおりです。
- 対象とするクラウドコンピューティグサービス及び情報セキュリティ対策を施施した基本リスクを明確にしたCS言明が、所定の様式書に記載されていること
- 上記の CS 言明に対し、下記の要件を満たす標準と定める情報セキュリティ監査が実施され、言明通りであることが確認されていること
- 情報セキュリティ監査基準に準拠した監査であること
- 基本リスクに対して、クラウド情報セキュリティ管理基準に準拠した管理策が実装され、運用されていることについての監査であること
- クラウド情報セキュリティ監査人が行う監査であること
- クラウド情報セキュリティ監査人の独立性が確保されていること
- 監査標準手続に準拠した監査手続により行われた監査であること
- 所定の様式で監査のプロセスが記録されて、第三者がその妥当性を評価できること
- 上記 6 つの要件を満たすことについて、根拠資料に基づき説明が可能であること
参照:JCISPA
なお、 CS マークシルバーを取得できるのは、 JASA の会員のみです。
CS マークと ISMS クラウドセキュリティ認証との違い
CS マーク以外でクラウドサービスを提供する事業者が適切なセキュリティ対策を実施しているかどうかを見るものとしては、 ISMS ( Information Security Management System )クラウドセキュリティ認証があります。
ISMS クラウドセキュリティ認証は、一般財団法人日本情報経済社会推進協会( JIPDEC )が実施する認証の仕組みです。
クラウドサービス提供事業者は自社サービスのセキュリティの信頼性の向上や法令遵守などを目的として、国際規格である ISO/IEC 27017 に準拠した ISMS 認証を取得します。そのうえで、 ISMS 認証だけではカバーできないセキュリティリスクを補う意味で取得するのが ISMS クラウドセキュリティ認証です。
ここでは、「認証範囲」「内部監査」「チェック項目」の観点から CS マークとの違いを解説します。
認証範囲
CS マークの認証範囲はサービスです。つまり1つの組織のなかでクラウドサービスが 3 つある場合、それぞれで CS マークを取得することもできます。そのため、外部へ公開する際、言明書(自社のセキュリティ対策についての宣誓書)には組織名ではなく、サービス名を記載しなければなりません。
これに対し、 ISMS クラウドセキュリティ認証の認証範囲は組織です。個々のサービスではなく、組織を対象として認証を行うことから、組織レベルでのセキュリティ管理が必要です。
内部監査
CS マークは適切に内部監査が行われているかどうかを評価・認証する制度です。そのため、内部監査の明確な基準が決められています。
これに対し、 ISMS クラウドセキュリティ認証には、内部監査の明確な基準はなく、その有効性や技量に関しては、組織によって異なるケースも少なくありません。内部監査の適切性が確保できず、認証を取得した際の品質が維持できなくなるケースもあります。
チェック項目
CS マークを取得するためのチェック項目は非常に多く、特にゴールドを取得するためのチェック項目は 1,000 以上です。そのため、 JASA では、インターネット経由でチェックの効率化を実現する監査ツールを提供しています。
これに対し、 ISMS クラウドセキュリティ認証のチェック項目は、組織により異なるうえ、細かい手順までは確認されないこともあり、 CS マークよりも容易です。
より細かい基準でチェックする必要があるのが CS マーク、ある程度組織の状況に合わせたチェックができるのが ISMS クラウドセキュリティ認証だといえます。
CS マーク・ ISMS クラウドセキュリティ認証以外の代表的な認証制度
CS マークや ISMS クラウドセキュリティ認証以外の代表的な認証制度として挙げられるのが、「 StarAudit Certification 」「 CSA STAR 認証」「 FedRAMP 」の3 つです。ここではそれぞれの概要について解説します。
StarAudit Certification
StarAudit Certification とは、欧州のEuroCloud Europe (ECE)による認証制度です。クラウドソリューションプロバイダの情報・法的事項・セキュリティとプライバシー・データセンター・運用プロセス成熟度・クラウド形態の 6 領域に分類し、評価します。
対象は全世界で、 6 領域すべてではなく単体の領域での評価も受けられるため、特定領域にのみ特化した組織でも認証を受けやすいのが特徴です。
なお、セキュリティの領域では ISO/IEC 27001 認証、運用プロセス成熟度で最高位である星 5 つの認証を受けるには、 ISO/IEC 20000-1 の取得が必要になります。
CSA STAR 認証
CSA STAR 認証は、アメリカの非営利団体「 Cloud Security Aliance 」による認証制度です。セキュリティ成熟度を評価します。
「自己認証」「第三者認証」「継続審査」の 3 段階での認証を受ける必要があり、対象は全世界です。
ISMS クラウドセキュリティ認証と同様に、 ISMS 認証ではカバーできないクラウドセキュリティリスクを補うための制度のため、 ISMS 認証の取得が前提となります。
FedRAMP
FedRAMP とは、アメリカの政府機関がクラウドサービスを調達するために採用している認証制度です。アメリカの政府機関にクラウドサービスを提供しているすべての国の組織を対象としています。
アメリカの政府機関統一のガイドラインで評価されるため、 FedRAMP の認証を取得すれば、アメリカのすべての政府各省庁で追加認証なく採用基準をクリアできるのが大きな特徴です。
CS マークの取得を検討してみよう
CS マークは、クラウドサービスを提供する事業者向けの情報セキュリティ監査制度です。 CS マークを取得することで、高セキュリティをアピールできれば、競合との差別化につながり、選択してもらえる可能性も高まるでしょう。
CS マークは、組織全体ではなく、クラウドサービス単体で取得できるため、企業規模が小さくても比較的取得しやすい認証制度です。ただし、内部監査のチェック項目は 1,000 以上あるため、取得を検討する際は、事前の計画を適切に行い、ルールに沿ってチェックを進めていくようにしましょう。
