■ ITシステムのクラウド化と監査需要の増加

ITシステムのクラウド化が急拡大し、そのセキュリティ信頼性を担保する監査需要が増加している。
拡大するITクラウドに対して、審査・監査の人的リソース養成は急務となっており、テクノファでも多くのお問い合わせをいただいている。本格的普及期を迎えたISO/IEC 27017を中心としてその事情を解説していきたい。

 

■ 加速するITシステムの重要性

大きな要因は、企業活動におけるITシステムがさらに重要となってきていることである。
IoT、AI、5G、VR、SNS・・、ITシステムがより高度になり、日常生活の利便性がさらに高まる。平成が始まる頃、大型計算機で処理していたデータは、パソコンレベルで扱えるようになり、日常業務はすべてITをベースとして進行する。一方、ビジネスを提供する企業では、これらの仕組みを提供するため、IT投資はさらに増加し、単なる間接費として無視できなくなっている。
IT設備は償却が必要な固定資産である。これらは数年で陳腐化し、中規模組織でも周期的に数億円単位の投資をしなければならない。

また、投資ボリュームも変化している。スマートフォンを代表に、「誰でも」手軽にネットワークにアクセス出来る環境が出来上がった結果、利用者が急激に増加する。販売サイトなどでキャンペーンを打てば、内容がSNSで瞬間的に拡散し、対象システムに利用者が殺到する。提供する企業では、利用ピークに合わせたITシステムの投資をせざるを得ず、一時期に投資額が増加する。
災害も対応しなければならない。昨年(2018年)の漢字は「災」であったが、国内では地震、豪雨、津波など、多くの災害が発生している。もちろん、ITシステムはこれらに弱いため、災害対応サイトを、別に設けなければならない。
IT業界では、「災対サイト」といわれるものである。簡単には、二重投資となる。
企業経営者は、進化するITに対応して継続的に投資を続けなければならないが、その投資額は無視できないものになっている。

 

■ 救世主クラウド

各企業は莫大なIT投資を強いられる。しかし、それらの技術はあまりに複雑になった結果、役員会では多くの内容が理解されず、言われるままに意思決定せざるを得ない。しかも投資額は年々増加する。
また、IT投資は固定資産への投資である。資本の活用効率、例えばROEなどを経営指標として使う組織などは、指標の低下要因そのものでしかない。
設備が導入され、キャッシュが一時的に出ても、すべて当期処理することは出来ず、繰り延べて償却する大きなコストでしかない。
ここで現れたのが、「IT設備を保有する」から「ITサービスを利用する」という考え方である。
拡大するIT設備であるが、投資直後から100%稼動利用はできない。利用率は需要に従って上がっていく。つまり投資前半は、保有する性能を使いきれない「無駄な保有」となる。
ここで共同利用という考え方が発生した。簡単に言えば、大規模なIT設備を持っていなくても、誰かと共用して設備を購入し、需要があがれば、使う「量を」変化できればいいわけである。
これが「クラウド=雲」という考え方である。
みんなで使える大規模なコンピュータ設備であり、各企業が共用できる、「雲の中の高性能コンピュータ」である。現在代表的なクラウドシステムであるAWS(アマゾンウェブサービス)は、2006年にサービスを開始した。通販大手のアマゾンから分離独立している。その他、MicrosoftのAzure、IBMはBluemixなどが提供されている。クラウドの登場により、財務の大きな問題が一部解決することとなった。

 

■ クラウドシステムの歩み

当初、日本国内でクラウドシステムは受け入れられなかった。
さまざまな理由はあるが、大きくは外国人の運営するコンピュータに、大事な企業の情報を預けられない、といったことである。
これには一理ある。そもそも「クラウド」であるので、公式にはどこに設備があるのか、公開していない。これは他国で企業統治の及ばない領域にデータ保管される可能性があり、大事なものは預けられないからである。
しかし、外資系クラウドベンダーの努力もあり、クラウドシステムへの意識は徐々に変わってきた。「わからない」「危ない」から、「ある程度の信頼がある」である。大手コンビニチェーンで全面採用するところも出現した。
クラウドシステムの利便性も評価されてきている。
まず、初期投資がゼロである。AWSでは、従量課金となる。費用は使った分だけ、しかもそれは経費としての当期処理が可能。各社とも、IT設備はオペリースなどで経費化を進めてきたが、これもIFRSなどの国際基準が導入されれば、費用としての処理が出来なくなる。
「スケーラブル」という仕組みもある。利用者が急激に増加し、さらにリソースを必要とする場合、クラウドでは、自動的に余裕あるリソースが割り当てられ、停止などのリスクは少ない。
財務としてみても、自社でIT設備を導入した場合、リソースの増加はつまり追加投資であり、多額のキャッシュを必要とするが、クラウドでは必要とするものだけ、当期予算に収まる漸増である。

 

■ クラウドシステムと外部委託

各種クラウドが整備され、企業活動への利便性はさらに高くなっている。さまざまな企業が新しいサービスを提供し、自社ビジネスにも組み込みやすくなる。
これらはアイデア勝負であるので、資本力の高い組織が勝つとは限らない。現在、国内7千万人以上が利用するSNSのLINEでも、始まり大企業の巨大投資ではなく、口コミである。次々と新しいサービスが生まれ、淘汰されていく。
だがITシステムを自社設備なく外部に頼る場合、高い信頼性が必要である。例えば、財務経理システムをクラウドに置き換えるのであれば、稼動信頼性が必要であり、十分なサービス品質が保証されなければならない。
しかし、そもそも「クラウド」とは、どこにコンピュータ設備があるのか、どのように提供されているのか、あまり明らかにされないものである。
現在、ISOマネジメントシステムは共通テキストとなり、品質、環境、情報セキュリティなど、基本的には同じフレームワークとなっているが、それぞれの規格では、委託先の管理が強化されている。インシデントが発生した場合、「委託先の責任です」という理由は通らないからである。
では、これらをクラウドシステムに外部委託する場合、どのように選定すればよいのか。評判なのか、誰かが付与したランキングなのか、政府が評価した結果であるのか?

 

■ 情報セキュリティでは

外部委託に関して、サービスの提供品質の議論もあるが、現在は情報セキュリティ管理が大きな要因となっている。
大手学習サイトでは、子供情報の漏洩により、千億単位の株価下落も発生している。
そもそも、「クラウド」として、あまり正体のないものにビジネス委託するのに、相手の情報セキュリティはどのように考えればいいのだろうか。
預けた大切な情報を、「しっかり」管理してくれているだろうか?
こういった「もやもや感」を払拭するため、登場したのがISO/IEC 27017である。
JIS規格のタイトルは、「情報技術-セキュリティ技術-JIS Q 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範」となっている。
一見、クラウドサービスの情報セキュリティを強化することを目的としているように見えるが、本来の目的は、クラウドサービスを提供する側が、クラウドサービスを使う側に情報提供するための規格である。
委託先を選定する場合、その信頼性が重要である。しかし、前項のように、クラウドサービスではさまざまな企業がアイデアを絞り、提供している状況にある。栄枯盛衰も激しい。そういったなかで、情報セキュリティ管理の信頼性をあげる唯一の方法は、「セキュリティ管理の開示」である。もちろん、セキュリティ管理であるので、詳細は開示できない。しかし、利用者側から見た選択基準は必要である。
委託する蔡の選択基準として、「クラウドサービスの情報セキュリティ管理の状況を判断する」。ISO/IEC 27017はこういった時代の要望により、制定された。
制定には日本が大きく関わっている。

 

■ ISO/IEC 27017の登場

ISO/IEC 27017は、クラウドサービスの情報セキュリティ管理を開示するものである。
長く懸案とされてきたクラウドのセキュリティ信頼性を、側面から支える。
規格の構造は、ISO/IEC 27001に準拠している。なので、すでにISO/IEC 27001を認証取得する企業では、大きな負担なく、構築を進めることができる。
何をするのか?といえば、ITビジネスにおけるホワイトペーパーを作成することに近い。ホワイトペーパーとは「白書」であるが、ITビジネスにおいては、自社製品、サービスの技術解説、市場動向などをまとめたものであり、そのサービスを選定してもらうための基礎資料となる。
ISO/IEC 27017では、多くの箇所に、「文書化し、情報を提供することが望ましい」といった記述があり、クラウドサービスを提供する側は、自社サービスの情報セキュリティの優位性を訴求するため、開示文書を作成することになる。
これらによって委託先としての信頼性を確保しようとするものである。
またISO/IEC 27017には審査登録制度がある。認証を取得するためには、規格要求事項はカバーしなければならず、結果的に一定の技術網羅性は確保することができる、

 

■ 公共調達への採用

一方、公共調達への採用の動きは広がっている。
府省庁システムなどでは、調達費用の面からいっても、クラウド採用が避けられないからである。また運用面でもリソースは限られる。人口が多く予算規模の大きなところでは、ITシステムへの予算を割けるが、人口の少ない都市ではそういったことも困難である。
各都市の人口減は続いており、結果として導入費用の低廉なクラウドシステムへ移行せざるを得なくなっている。
すでに政府調達ではガイドラインとして、府省庁対策基準策定のためのガイドラインを発行している。記述上、参考としているが、事実上、必須となることも近いだろう。

なお、参考となる認証には、ISO/IEC 27017 によるクラウドサービス分野における
ISMS 認証の国際規格があり、そこでは「クラウドサービス事業者が選択する監査は、
一般的には、十分な透明性をもった当該事業者の運用をレビューしたいとする利用者
の関心を満たすに足りる手段とする」ことが要求されており、これらの国際規格をクラ
ウドサービス事業者選定の際の要件として活用することも考えられる。
出所:府省庁対策基準策定のためのガイドライン 平成28 年8月31 日
内閣官房 内閣サイバーセキュリティセンター

 

■ 今後の見通し

ISO/IEC 27017について、すでにテクノファでは、2017年から主任審査員養成コースを提供しており、参加者も大きく増加している。
数年前には想像もつかなかったペースで、クラウドサービスへの移行は急激に増加しており、その調達信頼性を高めていくことは、日本として喫緊の課題である。
東京オリンピックを控え、IT需要はさらに拡大していく。
サプライチェーンにいかにクラウドを組み込み、コストを削減してかつ、信頼性をあげていくのか、ISO/IEC 27017を使った監査の仕組みも、さらに確実なものとする必要があるだろう。
企業会計への影響、公共調達への波及など、ISO/IEC 27017認証はこれからも増加すると考えられ、その審査人材への期待は、今後さらに高まっていくだろう。

 

山口 大輔(やまぐち だいすけ)

株式会社テクノファ
JRCA承認 ISMSクラウドセキュリティ(ISO/IEC 27017)審査員コース 主任講師

大手機械メーカーから英国系審査機関技術部長、大手携帯通信系企業コンサルティングファーム取締役に就任後、大手商社系SIでコンサルタントとして活動。IT化計画、企業リスクマネジメント、財務/労務など経営管理、ファイナンス、BCP、製造系全般などのテーマへのコンサル実績を持つ。現、テクノファ外部講師、仏系審査登録機関ICTプロダクトマネージャ。
BCMSユーザーグループ事務局長、JIPDEC ISO22301規格国際化委員、IRCA認定ISO 22301/ISO 20000主任審査員養成講師などを歴任。
ISO 9001、ISO/IEC 27001(JRCA)主任審査員

 

 

■□■ クラウドセキュリティをさらに学びたい方にお奨めの テクノファのクラウドセキュリティ関連コース ■□■

ISMSクラウドセキュリティ入門コース(TT66)
https://www.technofer.co.jp/isotrg/tt66/
 初学者向けとして、情報セキュリティの外部脅威・セキュリティインシデントから始まり、クラウドサービスに付帯するリスクなど、一連のクラウドセキュリティの概要をお伝えします。

<JRCA承認>ISMSクラウドセキュリティ審査員コース(TT14)
https://www.technofer.co.jp/isotrg/tt14/
 クラウドセキュリティ審査は、ISO/IEC 27001認証審査と同時に行われます(アドオン認証)。このコースでは、クラウドセキュリティ審査とISMS認証審査との相違点の理解とISMS審査プログラムに追加して審査するための知識とスキルを、講義とミニ演習、ケーススタディを通じて身に付けます。