クラウド事業者のセキュリティなどに関する第三者認証
クラウド事業者のセキュリティなどに関する第三者認証
クラウド事業者は、企業ユーザからクラウドサービスの信頼性を獲得するため、クラウドサービスのセキュリティ対策の実施状況を第三者の専門家による監査を伴う第三者認証を取得しており、自社のサービスサイトなどで三者認証の取得状況を公開しています。
クラウドに関する主な第三者認証を紹介しましょう。
「ISMS 認証(JIS Q 27001)」は、情報セキュリティマネジメントシステムの適合性認証制度です。
「プライバシーマーク(JIS Q15001)」は、個人情報について適切な保護措置を講ずる体制を整備している事業者の認定制度です。
「QMS(JIS Q 9000)」は、品質に関して組織を指揮し、管理するための品質マネジメントシステムです。
「ITSMS(JIS Q20000)」は、組織が効果的かつ効率的に管理されたITサービスを実施するためのフレームワークを確立して、システムを運用するIT システムマネジメントです。
「ISO/IEC27001:2013」は、セキュリティ管理のベストプラクティスと包括的な情報セキュリティ統制を規定したセキュリティ管理標準規格です。
「ISO/IEC 27018:2014」 は、クラウドサービスの個人データ保護に関する制御対象た規制などを規定しています。
「ISO/IEC 27017:2015」は、クラウド事業者のクラウドセキュリティの管理策体系を規定しています。
「PCI DSS」は、個人情報や取引情報などを含むクレジットカード情報の取扱いを規定した制度です。
「SOC1」「SOC2」や「SOC3」は、Service Organization Controlsと呼び、セキュリティおよび可用性に関する内部統制評価保証を行う評価基準です。
「ASP・SaaSの安全・信頼性に係る情報開示認定制度」は、安全・信頼性の情報開示基準を満たしているASP・SaaSなどのサービスを認定する制度です。
企業ユーザは、自社の重要なデータを扱う場合、セキュリティやデータ保護の管理策を充分に行っている事業者を選定することが重要であり、各クラウド事業者の第三者認証取得の取り組み状況は、事業者選択の一つの目安となるでしょう。