News
「既存建物の法的確認とコンプライアンス対策~12条点検・遵法性調査のよくある指摘・調査のポイント~」無料セミナーを6月19日に東京で開催
Image
ITシステムクラウド化の急拡大とISO27017
加速するITシステムの重要性
企業活動において、ITシステムがさらに重要になってきています。IoT・AI・5G・VR・SNSなどITシステムがより高度になり、日常生活の利便性がさらに高まっています。平成が始まる頃、大型計算機で処理していたデータは、パソコンレベルで扱えるようになり、日常業務はすべてITをベースとして進行しています。
スマートフォンをはじめ、「誰でも」手軽にネットワークにアクセスできる環境が出来上がった結果、利用者が急激に増加し、販売サイトなどでキャンペーンを打てば、内容がSNSなどで瞬間的に拡散し、対象サイトに利用者が殺到します。企業側は、利用ピークに合わせたITシステムへ投資せざるを得ず、投資額が増加します。
IT設備は償却が必要な固定資産ですが、これらは数年で陳腐化し、中規模組織でも周期的かつ継続的に数億円単位の投資をしなければならず、投資のあり方も重要になってきています。
近年国内では地震・豪雨・津波など、多くの災害が発生しているため災害への対応も必須で、災害対応サイトを別に設ける必要があります。IT業界では「災対サイト」といわれるもので、二重投資となります。
救世主「クラウド」
前述のように各企業は莫大なIT投資を強いられ、投資額は年々増加しています。しかし、それらの技術があまりにも複雑になった結果、経営層に多くの内容が理解されず、言われるがままに意思決定せざるを得ないこともしばしばです。
IT投資は固定資産投資であるため、資本の活用効率、例えばROEなどを経営指標として使う組織は、指標の低下要因そのものでしかありません。設備が導入され、キャッシュが一時的に出ても、すべて当期処理することはできず、財務に影響する大きなコストとなります。
拡大するIT設備ですが、投資直後から100%稼動利用することはありません。利用率は需要に従って上がっていきます。つまり投資初期は、保有する性能を使いきれない「無駄な保有」となります。
ここで現れたのが、「保有する」から「使う」という考え方、共同利用という考え方です。共同利用では、自身が大規模なIT設備を持っていなくても誰かと共同して設備を購入し、需要が上がれば使う量を変化させることが可能です。これが「クラウド」、つまり「雲の中の高性能コンピュータ」です。現在代表的なクラウドシステムであるAWS(アマゾンウェブサービス)は、2006年にAmazonが自社の大量商品の在庫管理やデータ分析を行うため、ITを駆使して構築したインフラやアプリケーションを一般ユーザーにも公開したのが始まりです。
クラウドシステムの歩み
当初、日本国内でクラウドシステムは受け入れられませんでした。さまざまな理由はありますが、外国人の運営する設備・機器に大事な企業の情報を預けられないといった理由が大きかったようですが、そもそも「クラウド」であるので、公式にはどこに設備があるのか公開されておらず、企業統治の及ばない領域になるので、大事なものは預けられないとも考えられていました。
しかし、その後外資系クラウドベンダーの努力もあり、クラウドシステムへの意識は徐々に変わってきました。「分からない」「危ない」から、「ある程度の信頼がある」への変化です。 クラウドシステムの利便性も評価されてきました。
クラウドシステムの利用は初期投資がゼロで、AWSでは従量課金となります。費用は使った分のみ経費として当期処理が可能です。企業はIT設備はオペリースなどで経費化を進めてきましたが、これはIFRSなどの国際基準が導入されれば、費用としての処理ができません。
自社でIT設備を導入した場合、リソースの増加は追加投資につながり、多額のキャッシュを必要としますが、利用者が急激に増加し、さらにリソースを必要とする場合、クラウドでは自動的に余裕があるリソースが割り当てられ、必要とするものだけに費用を払いますので、当期予算に収まる漸増で済みます。
クラウドシステムと外部委託
さまざまな企業が新しいサービスを提供し各種クラウドが整備され、企業活動の利便性はさらに高くなり、自社ビジネスにも組み込みやすくなっています。
ITシステムを自社設備ではなく外部に頼る場合、高い信頼性が必要です。クラウドシステムに外部委託する場合、どのように選定すれば良いのでしょうか。評判を元にすれば良いのか、誰かが付与したランキングなのか、政府が評価した結果なのでしょうか。
ISO27017の登場
現在大きな選定要素となっている情報セキュリティ管理についてISO27017「情報技術-セキュリティ技術-JIS Q 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範」が登場しています。
一見、クラウドサービスの情報セキュリティを強化することを目的としているように見えますが、本来は、クラウドサービスを提供する側が、クラウドサービスを使う側に情報提供をするための規格です。
具体的に何をするのか、といえば、ITビジネスにおけるホワイトペーパーを作成することに近いといえます。ホワイトペーパーとは「白書」ですが、ITビジネスにおいては、自社製品・サービスの技術解説、市場動向などをまとめたものであり、そのサービスを選定するための基礎資料となります。
ISO27017では、多くの箇所に「文書化し、開示することが望ましい」といった記述があり、クラウドサービスを提供する側は自社サービスの情報セキュリティの優位性を訴求するため、開示文書を作成することになります。これらによって委託先としての信頼性を確保します。
ISO27017の認証を取得するための規格要求事項により技術網羅性は確保することができます。
公共調達への採用
調達費用の面でも、また運用面でも限られたリソースしかない地方ではクラウド採用が避けられないため、公共調達への採用の動きが広がっています。政府調達では「府省庁対策基準策定のためのガイドライン」が発行されています。
“遵守事項 4.1.4(1)(e「クラウドサービスに対する ) 情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断すること」について”では、『クラウドサービス事業者及び当該サービスの信頼性が十分であることを総合的に判断するためには、クラウドサービスで取り扱う情報の機密性・完全性・可用性が確保されるように、クラウドサービス事業者のセキュリティ対策を含めた経営が安定していること、クラウドやアプリケーションに係るセキュリティ対策が適切に整備され、運用されていること等を評価する必要がある。このような評価に当たって、クラウドサービス事業者が利用者に提供可能な第三者による監査報告書や認証等を取得している場合には、その監査報告書や認証等を利用することが考えられる。』とされ、『参考となる認証には、ISO/IEC 27017 によるクラウドサービス分野におけるISMS 認証の国際規格があり、そこでは「クラウドサービス事業者が選択する監査は、一般的には、十分な透明性をもった当該事業者の運用をレビューしたいとする利用者の関心を満たすに足りる手段とする」ことが要求されており、これらの国際規格をクラウドサービス事業者選定の際の要件として活用することも考えられる』と明記されています。
出所:内閣官房 内閣サイバーセキュリティセンター
「府省庁対策基準策定のためのガイドライン」 平成28年8月31日
今後の見通し
ビューローベリタスジャパン株式会社 システム認証事業本部では、2017年からISO27017認証サービスを提供しています。数年前には想像もつかなかったペースでクラウドサービスは急激に増加しており、その調達信頼性を高めていくことは喫緊の課題です。サプライチェーンにいかにクラウドを組み込み、コストを削減して、かつ信頼性を上げていくのか、ISO27017を使った監査の仕組みも早急に周知していく必要があるでしょう。企業会計への影響、公共調達への波及など、ISO27017認証の必要性はこれからも増加するものとみられます。
システム認証事業本部 山口 大輔
【お問い合わせ】
ビューローベリタスジャパン(株) システム認証事業本部 営業部
TEL:045-651-4785 FAX:045-641-4330
E-mail
お問い合わせフォーム
【ビューローベリタスのサービス】
ISO/IEC27017 クラウドセキュリティ認証