KDDI クラウドサービス企画部の伊豆元です。
このたび、KDDI クラウドプラットフォームサービス(以下、KCPS)におきまして、SOC1 Type2およびSOC2 Type2の各認証に加えて、クラウドサービスに関する情報セキュリティ管理の国際標準規格「ISO/IEC 27017認証」を取得しましたのでお知らせいたします。
ISO/IEC 27017とは
当ブログでISO/IEC 27017を取り上げるのは初めてですので、まずはどのような規格なのかを少しだけ記載したいと思います。
ISO/IEC 27017とは、国際標準化機構(ISO)により発行されたクラウドセキュリティに関する国際規格です。ISO/IEC 27002をベースにしており、正式名称を「ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践的規範」としています。
ここで抑えておきたいポイントが2点あります。
まず1点目。クラウドセキュリティに関する規格と説明しましたが、この規格の対象となる組織はクラウドサービスを提供するクラウドサービスプロバイダ(CSP)だけでなく、クラウドサービスを利用するクラウドサービスカスタマ(CSC)も含まれます。
このたび我々は、KCPSを提供するCSPとして認証を取得しました。
CSPの中にも、例えばAWSの上にサービスを構築しているSaaS事業者など、他クラウドを利用している事業者はCSPかつCSCとなる場合もあります。そのような場合は、CSCとしての状況整備も必要になります。KCPSではサービス提供において他クラウドを利用していませんので、CSPとしてのみの認証取得です。
次に2点目ですが、この認証はISMS認証(ISO/IEC 27001)のアドオンとしての認証であり、ベースとしてISMS認証が必須になっています。ISO/IEC 27002をベースにしていることから、ISMS認証とも関連性がありつつ、クラウドに特化した管理策などが追加されています。
なぜ今、ISO/IEC 27017認証を取得するのか
製品やサービスを安心・安全にご利用いただく上で、独立した第三者による認証を取得していることはひとつの目安になります。ましてや、「クラウド」という名の通りどこでどのように存在しているか分からないサービスの場合、認証という形で可視化することは非常に重要と考えています。
KCPSでは2014年度のSOC1 Type1報告書の取得を皮切りに、SOC1 Type2を5年連続、SOC2 Type2を4年連続で取得しており(2020年8月時点)、当ブログでもSOC認証取得について何度かご報告しています(参考)。
一般的には、ISO/IEC 27017認証よりもSOC2認証の方が取得難易度は高いとされているうえ、セキュリティに関する内部統制についてはSOC2報告書でもカバーされています。
そんな中、我々が新たにISO/IEC 27017認証を取得した理由は、より多くの方に安心してKCPSをご利用していただくために他なりません。今やクラウドサービスは多くの方に認知・利用されるようになりました。様々な方にご利用いただくようになるにつれて、求められる安心・安全の形も変化してゆきます。クラウドサービスを利用するにあたり「ISO/IEC 27017認証を取得していること」が組織やグループ会社全体で定められているようなお客さまには、これまでその期待に応えることができずご迷惑をおかけしておりました。このたびの認証取得により、更に多くの皆さまにKCPSを安心してご利用いただけるようになったと考えております。
KCPSでのISO/IEC 27017認証取得方法
ここで、今後ISO/IEC 27017認証の取得を目指す方に向けて、今回の認証取得にあたっての課題と取り組み内容を一部ご紹介します。
ISMS認証やISO/IEC 27017認証では、その認証の適用範囲として組織を指定する必要がありますが、我々は組織に関連して以下の課題・制約を抱えていました。
⦁ KDDIのISMS認証は、組織によって3つに分かれている(2020年8月時点)。
⦁ KCPS関連組織も属しているISMS認証が組織によって異なり、2つにまたがっている。
⦁ ISO/IEC 27017認証のアドオン先に指定できるISMS認証は1つだけ。
つまり、どちらのISMS認証をアドオン先に指定しても全てのKCPS関連組織を適用範囲に含めることができないうえ、認証取得には不十分な組織体になってしまう状況です。
大規模な組織変更を行うことで解決することもできますが、あまり現実的ではありませんでした。最終的に、ISMS認証の利点を活用しながら、「内部供給者」という建て付けを整理することでこれらを解決しています。
例えば、CSPの中には運用業務などを外部組織へアウトソースしている場合もあると思いますが、内部供給者とはそのようなアウトソース先が同じ企業内にあるイメージです。外部委託ならぬ、内部委託(造語)ですね。アウトソースする際に取り決める役割分担や責任範囲を内部供給者に対しても明確に整理・定義する等して、1つのISMS認証の中でKCPSの企画・開発・運用・提供にあたる全体をマネジメントできるプロセスを構築することで認証を取得しました。
さいごに
今回は、ISO/IEC 27017認証取得についてのご報告と、それにまつわる取り組み内容などをご紹介しました。KCPSでは、お客さまに安心してサービスをご利用いただけるよう、引き続き改善を続けてまいります。
