情報セキュリティ関連規格の整理(認証関連の規格)
情報セキュリティ関連規格の分類(再掲)
当記事では、下表の「認証関連の規格」に分類される情報セキュリティ関連規格を説明します。
情報セキュリティの認証関連の規格とは?
認証関連の規格は、独立した認証機関が審査を行い規格に定められた基準を満たしていることを第三者に対して証明することを目的としており、取得した場合には次のようなメリットがあります。
官公庁の入札要件
ISMS等を取得していることが官公庁関連業務の入札要件となっていることがあります。また、民間企業でも委託元から取得することを要望される場合もあります。業務委託やクラウドサービス選定
業務委託先やクラウドサービスを選定する際に、各組織内部での調達ガイドライン等で一定のセキュリティ認証を持っていることが選定における加点となる場合があります。委託先監査等の軽減免除
個人情報保護法(第22条)では、委託先を監督する必要があり委託元は委託先に対して監査等を実施する場合があります。各組織内部での委託先管理ガイドライン等にて、一定のセキュリティ認証を持っていることで監査の簡素化等のルールを設けている場合があります。
ISO27000規格群(ISMS)
ISO27000規格群は、情報セキュリティ強化を行うための規格群でISMSについて定めた国際規格です。ある程度の組織でお勤めの方であれば「ISMS」という名称は聞いたことがあると思います。一番オーソドックスなISO27001があり、それにクラウドサービス関連のISO27017等があります。
(ISO27017は、ISMAP等の認証規格が出来たことから最近は人気がないように思えます)
詳しい解説は、いくつかのページのリンクを載せておきますのでそちらを参考にしてください。
第三者機関によって認証されており、次のページで認証されている対象を確認することが可能です。
ISMSに関連して重要なのは取得が「法人」単位ではない点です。例えば、このあとご説明する「プライバーシーマーク」は「法人」単位で認証されます。
一方でISMSは、ある法人の「業務」単位となります。ある「法人」のある「業務」のみが対象となっていることから、委託先から「当社はISMSを取得しています!!」と回答があったとしても全く関係のない業務で取得しているだけで自組織が委託している範囲は対象外となっている可能性があります。そのため、ISMSの認証を確認する場合には「法人」だけでなく取得対象の業務や対象となる拠点も合わせて確認する必要があります。
ISO27001は、情報セキュリティ関連の規格の中で一番有名な規格であり多くの企業が取得しています。ただ、ISO27001を取得しているからセキュリティが担保されるかと言われば正直言って….
これは、入札要件を満たす為や委託先から取引の条件等で求められることもあり「情報セキュリティ」を高めることよりも認証取得が目的となりやすいことが原因です。そのような目的で取得している組織は、表面上の証跡等が揃っているが実態としては機能していないこともあります。当然、この規格を利用して情報セキュリティ向上を行なっている組織もあることから取得している会社のセキュリティレベルは玉石混合と言うのが実態です。
SOC2/SOC3レポート
情報セキュリティの世界では、SOCと言うとサイバー攻撃を検知して対応するするSOC(Security Operation Center)を思い受けべる方もいらっしゃいますがここでは、SOC(System and Organization Controls)を指します。
詳細は下記のリンク先をご参照ください。ざっくりと言うと大手の監査法人(Deloitte/EY/KPMG/PwC等)が第三者としてクラウドサービス提供会社やアウトソーシング業務を行っている会社のセキュリティ等を含む内部統制を評価し保証するレポートです。
SOC1は毛色が違うのでここでは省略しますが、SOC2 type1/SOC2 type2/SOC3の3種類があります。
SOC2レポートには非常に詳細な内部統制の記載(※)があります。このような詳細の統制の内容が第三者に開示されるとそれ自体がセキュリティ上のリスクにつながることから、SOC3レポートでは第三者へ開示可能なレベルで記載されています。
(SOC2は非常に限定的な公開で、SOC3はWebページ等で広く公開される場合が多いです。)
(※)例えば、どのように本番環境にアクセスするのか、本番環境IDはどのように管理されているのか、本番環境に関するログはどの期間保存され、どのような方法・頻度で検証されるか等が記載されています。
例えば「さくらインターネット」さんのページを見るとSOC3は簡単にダウンロードできますが、SOC2は問い合わせて公開される形式となっています。
(SOC2レポートの開示は、NDA等の締結が求められる場合があります)
また、Type1とType2の2種類がざっくりと違いを書くと
Type1:ある1日で要件を満たしているかを確認する
Type2:ある一定期間について要件を満たしているかを確認する
SOC2/SOC3は、ISMSに比べると取得工数は跳ね上がります。ISMSに比べれば長い時間をかけて実施され、Type2となればさらに時間をかけて精査されます。そのため、SOC2/SOC3報告書が出てくる会社は、ISMSに比べるとセキュリティを一定以上担保していると言えるでしょう。
PCIDSS
PCIDSSとは、クレジットカード会社(VISAやMaster等)がクレジットカード情報を取り扱うシステムに対して求める基準が定められています。詳しくは、下記のページをご参照ください。
年間のクレジットカード情報取扱が一定上を超える場合には、PCIDSSの準拠を求められることになります。また、PCIDSSに準拠している場合には、クレジットカード情報の漏洩が発生した場合でもクレジットカード会社からのペナルティが軽減される場合があります。PCIDSSの詳しい要件は下記より入手可能です。
PCIDSSはクレジットカード情報を扱ってない組織には無関係と思われがちですが、PCIDSSの要件は、技術的な要件がかなり具体的に記載されており自組織の基準等を決める際には参考となります。例えば、パッチ等の適用については次のように記載されています。
6.3 セキュリティの脆弱性を特定し、対処している。
6.3.3 すべてのシステムコンポーネントは、以下の ように適用可能なセキュリティパッチ/アップデー トをインストールすることで、既知の脆弱性から保護されている。
• 重要または高セキュリティのパッチ/アップデ ートは、リリース後 1 カ月以内にインストールされる。
• その他の適用可能なセキュリティパッチ/アップデートが、事業体の定める適切な期間内(たとえば、リリースから 3 カ月以内)にインストールされる。
上記のように、パッチ重要度ごとに概ねどのくらいの期間で適用を行うべきかの指針が示されており、自社のパッチ適用プロセスを作成する場合には「世間一般的な水準」として参考となります。
また、下記の記事のように、PCIDSSのバージョンアップに合わせてガラケー対応を止める流れが広がるなどPCIDSSの要件が変更されることに合わせて多くのサイトが歩調を合わせるなどセキュリティ関連の基準としてある程度の影響力を持っています。
ISMAP
ISMAP(Information system Security Management and Assessment Program)は比較的新しい認証関連の規格で、政府で使用するクラウドサービスはこの規格に準拠しているものから選ぶルールとなっており、準拠していることを認証されたサービスは下記で一覧公開されています。
政府が認めるセキュリティ基準をクリアーしている「政府のお墨付き」クラウドであることから民間企業においてもクラウドサービス選定時に参考とする場合があります。
また、リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とする仕組みであるISMAP-LIUも始まっており、ISMAPが日本向けにサービスを提供するクラウドサービスを行う場合には取得することが有利である認証規格となりつつあります。
プライバシーマーク(PMS)
プライバシーマークの説明は下記のリンクをご参照ください。個人情報の取扱に関連した認証規格です。
個人情報保護法に比べてプライバシーマークの方が範囲が少し広く追加要件もあります。
認証関連の規格のあれやこれや
認証関連の規格を取っていればセキュリティ管理をしっかり行っている。多くの人はそれを期待します。しかし、ISMSの一部の取得組織が認証を取得することだけを目的としてしまうなど、取得しているからといって必ずしもセキュリティ管理の水準を証明出来るものではなくなって来ています。
また、2022年度に発生した「メタップスペイメント」の事案は”認証を取得してるからセキュリティが担保されている”と言う前提を覆す事件でした。
また、それ以外にもISMAPに登録されている富士通関連のクラウドサービスがセキュリティ事故を起こしたりと近年では認証を取得しているから安心とはならない事態も続いています。