前回に引き続き、
クラウド・リスク・マネジメントから
クラウドを選定する際の1つの指標となる
クラウドの評価制度についてまとめておきます。
- SOC(Service Organization Control)
- プライバシーマーク制度★
- ISMS適合性評価制度★
- PCI DSS(Payment Card Industry Data Security Standard)★
- STAR認証★
- FedRamp(Federal Risk and Authorization Management Program)★
- JASA(Japan Information Security Audit Association)★
- 政府情報システムのためのセキュリティ評価制度(Information System Security Management and Assessment Program、ISMAP)★☆
★は認証系で、評価の結果に基づき、何らかの認証の取得可否を判断するものです。
平成28年(2016年)に出版された本のため、内容が古い部分があり、
今回いくつか追記しました。(☆の部分)
SOC(Service Organization Control)
内部統制に関する第三者による評価。
アメリカ公認会計士協会 (AICPA) ならびにカナダ公認会計士協会 (CICA) が制定した基準に基づき監査法人などが評価を行う。
SOC1
財務報告に係る内部統制の評価。
SOC2
財務報告以外の領域(セキュリティ、可用性、処理の一貫性、機密性、プライバシー)についての評価 。
SOC3★
評価項目はSOC2と同じだが、外部への公開を目的に行われる包括的な評価。
プライバシーマーク制度★
JIS Q 15001 に基づいて、個人情報の取り扱いを正しく行う体制を整備していることを評価する制度。
ISMS適合性評価制度★
JIS Q 27001に基づいたセキュリティの管理策がとられていることを評価する制度
JPIDECが認定した認証機関が評価を行う。
PCI DSS(Payment Card Industry Data Security Standard)★
クレジットカード情報、取引情報を安全に保護するために作られた認定制度。
国際ペイメントブランド5社(JCB・American Express・Discover・マスターカード・VISA)が共同で2004年12月策定。
STAR認証★
ISO/IEC 27001の要求事項と
クラウド事業者のセキュリティの管理体制を評価する制度。
BSI(British Standards Institution, 英国規格協会)と
CSA(Cloud Security Alliance,クラウドセキュリティアライアンス)によって創設された。
FedRamp(Federal Risk and Authorization Management Program)★
アメリカ政府の各庁で利用される情報システムに対する、
セキュリティの要求事項であり、アメリカ政府にサービスを提供するクラウド事業者はこの認証を取得することが必要になっている。
※FadRampを取得していれば、米国政府が利用しても良いレベルの安全性を有していると考えることができる
JASA(Japan Information Security Audit Association)★
クラウドセキュリティに特化した監査制度。
クラウド事業者において、機密性・可用性・完全性の観点で管理策が適切に機能しているかを評価する制度。
政府情報システムのためのセキュリティ評価制度(Information System Security Management and Assessment Program、ISMAP)★☆
日本政府がクラウドサービスを調達する際の、セキュリティ要求事項を満たしていることを評価する制度。
NISC・内閣官房情報通信技術(IT)総合戦略室・総務省・経済産業省が連携して制定。
2021年以降、政府が調達するクラウドサービスはISMAPを取得していることが求められる。
※ISMAPは1000を超える評価項目があるようですが、
なんとサービスごとに取得する必要があるそうです。。。