一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

FAQ3:認証基準(本文)の解釈
  (ISMSクラウドセキュリティ)

31-1.適用範囲

※ISMSクラウドセキュリティ認証は、ISMS認証を前提とした認証のため、その適用範囲はベースとなるISMS適用範囲に必ず含まれることになります。
また、適用範囲については、このFAQの他、ISMS-ACのWebページに公開されている「ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証について」の【認証の対象となる組織】をご参照ください。

クラウドサービスプロバイダの場合

外部のデータセンターを適用範囲に含める必要があります。ただし、外部データセンターのサーバやストレージをすべてアウトソースして管理している場合は委託先管理として管理していることが確認できれば含めることは必須ではありません。詳細は認証機関にご相談ください。

クラウドサービスプロバイダが自らのサービスを提供するに当たり、外部クラウドサービスを利用する場合は、クラウドサービスプロバイダ及びクラウドサービスカスタマの両方を適用範囲としていただく必要があります。そのため、適用範囲においては、クラウドサービスカスタマの立場として外部クラウドサービスの利用を含めることになります。その場合の留意点については、Q1107Cをご参照ください。

Q3101C2の回答に関連しますが、自社がサービスを提供するクラウドシステムについて、クラウドシステムそのものを適用範囲に含まない場合は、クラウドサービスプロバイダとしてISMSクラウドセキュリティ認証を取得することは困難であると考えます。
 また、クラウドシステムを提供/運用するにあたり、外部クラウドサービスを利用している場合、「クラウドサービスの利用」を適用範囲に含み、クラウドサービスカスタマの立場で外部クラウドサービスの利用を管理していることが確立されているのであれば、認証を取得することが可能になります。Q3101C5 もご参照ください。

クラウドサービスカスタマの場合

クラウドサービスカスタマの立場では、クラウドサービス名を特定しないことによって他社に大きな影響を与えないのであれば、「○○会社が提供する○○サービスを使った基幹系システム」というように具体的な名称を記載する必要はありません。「外部クラウドサービスを利用した○○基幹系~」といった表記が推奨されます。ただし、クラウドサービス名の記載がないことにより、例えば、組織の提供する複数のサービスのうちの一部しか適用範囲に含まれていなくても、全てのサービスで認証を取得しているかのように誤解される可能性がある場合には、クラウドサービス名を明記することが推奨されます。

「クラウドサービスの利用」については適用範囲に含めることになりますが、そのサービスを提供する組織を含める必要はありません。クラウドサービスの利用は、これまでの供給者管理の考え方と同じであり、契約時の確認やSLA等に含むべきクラウドサービスのセキュリティ関連事項が、ISO/IEC 27017:2015で明確になっています。クラウドサービスカスタマとして認証を取得する場合の留意点については、Q1107Cをご参照ください。

認証の範囲

クラウドサービスカスタマ、クラウドサービスプロバイダの立場によって異なります。一概にはいえませんが、クラウドサービスプロバイダにおいてはサービス名称といったものが単位となり得ますが、それに限定されるものではありません。

31-2.リスクアセスメント

その通りです。要求事項には、クラウド特有のリスクを再度見直していただくことで、リスクアセスメント自体について追加の要求があるわけではありません。 ただし、ISMSでは、場合によってはリスクアセスメントの手法を変えても良いとしているので、例えば、クラウド特有のリスクについて改めてクラウドサービスを評価しようとするときに、既存の手法ではなく、新たな手法でリスクを評価するということであってもかまいません。

  • ISO/IEC 27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項(JIP-ISMS517)

31-3.内部監査

この「4.3内部監査」は、ISO/IEC 27001の9.2そのものであるため内部監査の実施が主たる要求事項となります。情報提供については、内部監査人には報告する義務があり、その報告先は経営陣となります。クラウドサービスカスタマ、クラウドサービスプロバイダとも、情報の提供先は組織の上級管理者、つまり経営陣となります。 ただし、クラウドサービスプロバイダの方は、場合によってはクラウドサービスカスタマに開示しなければならないということが契約で定められていることもありますので、その視点で確認する必要があります。

31-4.適用宣言書(SoA)

その通りです。クラウドサービスの内容等は、取引先等によって要求事項や対策も違うものになるでしょうし、提供するクラウドサービスの運用、内容が異なるのであればなるべく区別をして記載ください。