クラウド情報セキュリティ監査
事業者が基本的な要件を満たす情報セキュリティ対策を実施し、
事業者がそのとおりに実施しているかを標準的な基準に基づき
あらかじめ定められた要件を満たす監査で評価し、
安全性が確保されていることを顧客に公開する。
クラウド情報セキュリティ監査とは、標準的なサービスを多数の顧客に提供するクラウドサービスの特性を踏まえて、事業者が行うべき情報セキュリティマネジメントの基本的な要件(基本言明要件)を定め、事業者がそのとおりに実施しているかを基準に基づき評価し、安全性が確保されていることを顧客に明確にする仕組みです。
基本言明要件は、経済産業省が公開している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」に基づくクラウド情報セキュリティ管理基準において定められたものです。クラウド事業者はこの管理策を実装・運用することで、クラウドの情報セキュリティを確保いたします。
監査は事業者が行う内部監査とその結果を独立した第三者が評価する外部監査に分かれます。クラウドサービスは規模が大きく、技術的に新しくかつ変化の激しいテーマであることから、クラウドの知識をもつ監査人が限られています。そこでクラウド技術者が監査の知識を習得し、内部監査を適切に行い、その監査手続について独立した外部監査人が監査し、監査結果の妥当性を評価する制度が必要となります。外部監査人が監査結果を客観的に監査することにより、内部監査の透明性を高めることで、セキュリティ対策の実効性を確保しようとするのが狙いです。
クラウド情報セキュリティ監査の仕組み
クラウドセキュリティ推進協議会