クラウドセキュリティ監査サービス

クラウドセキュリティ監査サービスの背景

情報システムの導入・運用コストの軽減などを期待することができるコンピュータの新しい利用形態として、「クラウド・コンピューティング」(以下、クラウド)」が注目されています。

しかしながら、自社でシステムを構築し所有するプライベートクラウドの形態においては、 “仮想化技術など、クラウド固有の脅威や脆弱性がわからない(想定リスク1)”という新たなセキュリティ上の問題があります。また、外部のクラウドサービスを利用するパブリッククラウドの形態においては、 “クラウドサービスを提供するサービス事業者の情報セキュリティ管理の実態が把握し難い(想定リスク2)”といった懸念があり、これらのことから、クラウド導入に踏み切れないケースも見受けれます。

クラウドセキュリティ監査サービス

クラウドセキュリティ監査サービスの必要性

仮想化環境の導入による新たなセキュリティ上の問題、および外部から提供されるクラウドサービスのサービス品質を確保するためには、サービス階層ごとの管理主体を明確にした上で、適切な情報セキュリティ管理が実行されているかを確認することが重要となります。クラウドセキュリティ監査を実施することで、情報システムの導入・運用コストを削減しながら、信頼性も担保できるクラウドを実現することができます。

クラウドセキュリティ監査サービスの概要

標準的なクラウドに関する情報セキュリティ管理基準としては、 NIST、ENISA、CSAなどの国際的な技術団体が公表するクラウドに関する文書、および経済産業省のクラウドサービス利用のための情報セキュリティマネジメントガイドラインがあります。GSXのクラウドセキュリティ監査サービスは、情報セキュリティに関する豊富なコンサルテーションと情報セキュリティ監査の実績をもとに、これらの標準的な管理基準に準拠し、お客様にて導入または導入予定のクラウド環境やクラウドサービスについて、リスク軽減策の実施状況など、情報セキュリティ管理の実態を監査します。

※クラウドサービス事業者への監査を実施する場合は、クラウドサービス契約の中に監査実施に関する取り決めがされていることが前提となります。

GSXコンサルティングの特色

クラウドセキュリティ監査サービスは、標準的なクラウドに関する情報セキュリティ管理基準をもとに、 3つのクラウド固有の視点((1)クラウドコンピューティング技術に関する視点、(2)コンピュータ利用環境に関する視点、(3)セキュリティ運用に関する視点)から監査を実施します。

クラウドセキュリティ監査サービス クラウド固有の視点

構築ステップ

step1

標準的なクラウドに関する情報セキュリティ管理基準の適用

step2

監査対象範囲の確定(自社構築、サービス利用)

step3

クラウドセキュリティ監査の実施

step4

クラウド導入・運用に関するセキュリティ要件の改善提言

クラウドセキュリティ監査サービスは、以下のステップで監査を実施し、クラウドの導入・運用に必要な改善提言を行います。

クラウドセキュリティ監査サービス 導入ステップ

導入後の効果・メリット

クラウドセキュリティ監査サービスを利用していただくことにより、下記のメリットがあります。

クラウドコンピューティングは、今後もクラウドと既存のシステムの連携利用や、クラウドの共同体利用形態など、ますます利用範囲を拡大して行くと考えられます。そのような中、クラウドセキュリティ監査サービスは、自社におけるクラウド導入計画の適正評価やクラウドサービス事業者の選定評価に利用でき、内部統制(IT全般統制)や情報セキュリティマネジメント(ISMS)の有効性評価と連携することができます。

Q&A

Q1

クラウドサービス事業者への監査はどのように行われますか。

A1

標準的なクラウドに関する情報セキュリティ管理基準にもとづくチェックリストを送付し、サービス事業者からの回答を分析します。また、必要に応じて情報の取り扱い状況の観点から、現地監査(サービス契約に基づく)を行います。

Q2

改善提言には、自社におけるクラウド導入に関する規程整備も含まれますか。

A2

クラウドセキュリティ監査により抽出した、お客様の現行の情報セキュリティ規程などの過不足を指摘し、必要なクラウド導入基準について助言を行います。
具体的な規程整備については、別途整備支援サービスとして対応可能です。

Q3

仮想マシンなどのクラウド環境に対する脆弱性確認もサービスの範囲に含まれますか?

A3

クラウド環境に対する技術的な脆弱性調査が必要な場合は、GSXの「クラウドシステム検査」サービスをご利用いただくことで対応可能です。