「ISMSクラウドセキュリティ認証」の解説 〜 ITパスポート R5年 問56 〜

ISMSクラウドセキュリティ認証とは、クラウドサービスに関する情報セキュリティを適切に管理している組織だと証明するための第三者認証のことです。

ISMSクラウドセキュリティ認証とは？

「ISMS」とは、「Information Security Management System」の略であり、組織における情報資産のセキュリティを管理（マネジメント）するための枠組みのことです。

あわせて読みたい

「ISMS」「LPWA」の解説 【ISMSとは？】 「ISMS」とは、「Information Security Management System」の略であり、組織における情報資産のセキュリティを管理（マネジメント）するための枠...

ISO/IEC 27001とは？

「ISO/IEC 27001:2013」とは、マネジメントシステムの国際規格になります。（ISO規格の原文は英語、フランス語になります。）なお、「JIS Q 27001:2014」は、「ISO/IEC 27001:2013」を日本語訳したものになります。

「ISO/IEC 27001:2013」は、イギリスの規格である「BS7799」を参考にして作成された国際規格になります。日本では、「ISO/IEC 27001:2013」が作成される前から「BS7799」に基づいた国内独自（財団法人 日本情報処理開発協会（JIPDEC））のISMS認証制度がありました。

「ISO/IEC 27001:2013」では、114項目のセキュリティ対策が要求事項として定められています。それぞれの対策がうまくいったのかどうかを検証して改善していく仕組み、すなわちPDCAサイクルを回して継続的改善をし続けられる体制であることが求められます。

ISO/IEC 27017 とは？

クラウドサービス固有の管理策である「ISO/IEC27017:2015」とは、クラウドサービスに関する情報セキュリティ管理策を規定した国際規格になります。

「ISO/IEC27017:2015」は、実践的な手引きが書かれたガイドラインと位置づけられています。
クラウドサービス固有の管理策の例としては、下記が挙げられます。

なお、「ISO/IEC27017:2015」は単体で取得することができません。「ISO/IEC 27001:2013」および「JIS Q 27001:2014」への適合を前提としています。

「ISO/IEC27017」をISMS適合性評価制度に取り込み認証制度化するためにJIPDECが策定したものが、「ISO/IEC27017:2015に基づくISMSクラウドセキュリティ認証に関する要求事項（JIP-ISMS517-1.0）」です。
「JIP-ISMS517-1.0」で定められた要求事項を満たすことにより、ISMSクラウドセキュリティ認証を受けることができます。

ISMSクラウドセキュリティ認証の対象とは

ISMSクラウドセキュリティ認証の対象は、クラウドサービス（SaaS、IaaS、PaaSなど）のプロバイダ（提供者）及びカスタマ（利用者）が対象となります。クラウドサービスプロバイダの中で、他社のクラウドサービスを利用してサービスを提供している組織は、プロバイダとカスタマの両方が該当します。

「クラウドサービスプロバイダ」とは、 クラウドサービスを提供する組織のことです。また、「クラウドサービスカスタマ」はクラウドサービスを利用している組織のことです。

ISMSクラウドセキュリティ認証のメリット

ISMSクラウドセキュリティ認証を取得することで主に以下のようなメリットがあると言われています。

ISMSクラウドセキュリティ認証に関する問題（令和5年問56）

ISMSクラウドセキュリティ認証に関する記述として，適切なものはどれか。

   ア.  PaaS，SaaSが対象であり，IaaSは対象ではない。

   イ.  クラウドサービス固有の管理策が適切に導入，実施されていることを認証するものである。

   ウ.  クラウドサービスを提供している組織が対象であり，クラウドサービスを利用する組織は対象ではない。

   エ.  クラウドサービスで保管されている個人情報について，適切な保護措置を講じる体制を整備し，運用していることを評価して，プライバシーマークの使用を認める制度である。

出典：令和5年度  ITパスポート試験公開問題 問56

正しいと思う選択肢をクリックしてみてください！！！（解答・解説を記載しています。）