クラウドサービス選定時に着目すべきFedRAMP、ISMAP、C5

グローバルにクラウドサービスを提供している企業にとって、提供先の国や地域が設けているFedRAMP、ISMAP、C5などの第三者認証を取得することはビジネスの継続や拡大に不可欠です。政府が認証取得を調達要件としている場合もあり、利用いただくユーザに自社サービスの透明性や信頼性を示せるという点でメリットもあります。

一方、自社がそうした認証取得とは無縁に思えても、別の視点で制度を活用することが可能です。自社システムにクラウドサービスを導入する場合、サービスの選定時には、どのようなチェック項目を考慮すべきでしょうか。あるいは、社内からの利用申請を受けてクラウドサービスの審査を行うIT・セキュリティ担当部門の場合、審査には手間とコストがかかり、申請が増加すれば現場は疲弊してしまいます。そんな場合、クラウドサービスに関する認証を取得しているかどうかや、その認証の内容に着目すると、選定や審査の手助けとなる場合があります。認証制度は数多く存在しますが、自社の要件やセキュリティ基準などと照合しながら適切に参照することで、自社のDX推進に役立てることができます。

参考記事：クラウドサービスのリスク審査はなぜ疲弊するのか？～実態と業務のヒント～

本記事ではいくつかの認証制度を取り上げ、その内容や特長を紹介しながら、クラウドサービスのユーザ側からの着眼点や注意点を考察します。

FedRAMP (フェドランプ：Federal Risk and Authorization Management Program)

クラウドサービスを対象とする米国連邦政府の調達要件に関する認証制度です。連邦政府全体で安全なクラウドサービスの導入を促進することを目的としています。政府がクラウドサービスを調達するにあたり、クラウドサービスプロバイダが従わなければならないセキュリティ要件が定められています。クラウドサービスに求められる機密性、完全性、可用性に応じて、低・中・高の3段階の「インパクトレベル」が設定されており、レベルが高くなるほど求められるセキュリティレベルも高くなります。

この認証を取得することで、連邦政府とのビジネスチャンスが広がるだけではなく、製品がクラウドセキュリティの最高基準を満たしていることの証明になるため、クラウドサービスの信頼性向上にも繋がります。認証を受けたサービスは公開されているので、州政府や企業にとってもクラウドサービスの選定基準になり得ます。FedRAMPについては、以下の記事で詳説していますので参考にしてください。

参考記事：FedRAMPとは？～制度の概要と認証までのプロセスを解説～

また、トレンドマイクロは2023年12月にFedRAMPを取得しています。

ISMAP (イスマップ：Information system Security Management and Assessment Program)

日本版FedRAMPとも言えるもので、日本政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録する制度です。これにより政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、クラウドサービスの円滑な導入を可能にすることを目的としています。

また、政府は民間企業まで利用が拡大されることを目指しています。ISMAPに登録されたサービスのプロバイダにとっては、自社サービスのセキュリティレベルの高さを証明できます。ユーザ企業にとっても、ISMAPで開示されている内容と、自社のセキュリティ基準を照合しチェックすることができるため、クラウドサービス選定時の評価コストを抑えることができます。ISMAPについての詳細は、以下の記事を参考にしてください。

参考記事：ISMAPとは？クラウドサービスリストへの登録のメリットは？

トレンドマイクロのサービスは2023年5月にISMAPに登録されました。

Cloud Computing Compliance Controls Catalogue (C5)

ドイツ連邦政府におけるコンピュータと通信のセキュリティ担当部門であるBSI (Bundesamt für Sicherheit in der Informationstechnik：連邦情報セキュリティ庁) が2016年に発行したものです (2020年に全面改訂)。C5は、安全なクラウドコンピューティングの最小要件を指定する基準カタログです。その目的は、標準化された監査とレポートに基づいて、情報セキュリティを透明性のある方法で説明することです。C5は主に、クラウドサービスプロバイダ、監査人、ユーザを対象としていますが、興味深いのは、この3者が情報セキュリティを確立・維持する責任を共有する、としている点でしょう。

・クラウドサービスプロバイダ：製品にC5の基準を適用することによってセキュリティを強化し、競争力を確立できます。また、C5の基準に則っていることを証明するために、任意の監査人などに監査の実施を義務付けることもできます。

・監査人：監査時にC5の基準が満たされているかどうか（場合によっては、過去においても満たされていたかどうか）を確認します。国際基準に従って詳細な監査レポートを作成します。レポートには、監査内容が文書化され、クラウドサービスプロバイダがC5を満たすためにどのような手順、プロセス、対策を実施したかを示すシステムの説明が含まれます。

・ユーザ：利用するサービスについてユーザ自らリスク評価を実施することが重要です。各クラウドサービスプロバイダからC5のレポートを請求し、それを分析する必要があります。レポートが標準化されているため、複数のクラウドサービスプロバイダの情報セキュリティに関する比較を体系立てて行えます。なお、監査人の選定、監査レポートのチェック等にはBSIは関与しないため、レポート分析や結論導出はユーザの責任において行います。

いずれの認証制度の場合でも、取得済みのサービスならどれでもよいというわけではありません。上述のように、ユーザ企業も自社のセキュリティ基準を設定し、それと照合したうえで自社への導入が適切かどうかを判断する必要があります。認証制度は、サービスの提供企業だけでなく、ユーザ企業側が適切に利用してこそ、その効果が十分に発揮できるといえます。

トレンドマイクロで取得済みのコンプライアンスおよび認証はこちらを参考ください。

サプライチェーンの要たる“クラウド”

認証制度に裏付けされたセキュリティレベルが高いクラウドサービスを利用することは、クラウドに起因するセキュリティインシデントによる情報漏洩や事業停止のリスク回避策にもなります。したがって、サプライチェーンリスクの回避にも必須といえるでしょう。実際、サプライチェーン参画にセキュリティ対策は必要条件となりつつあります。2022年の国内法人組織向けのサイバーセキュリティに関する調査では、56%の企業が「委託先の選定条件にセキュリティ対策状況を含んでいる」と回答し、35%の企業がその「必要性を感じている」と回答しています。

サプライチェーンに参画し、なおかつサプライチェーン全体のセキュリティレベルの向上のためにも、海外拠点やグループ企業全体で一定のセキュリティレベルを保った業務環境構築が必要です。

<関連記事>
・クラウドサービスのリスク審査はなぜ疲弊するのか？～実態と業務のヒント～
・FedRAMPとは？～制度の概要と認証までのプロセスを解説～
・ISMAPとは？クラウドサービスリストへの登録のメリットは？