４月１日に経済産業省から、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」が発表されました。

本ガイドラインは、クラウド利用者がクラウドサービスを安全に安心して利用するために、情報セキュリティ対策の観点から活用することを企図して策定されています。

クラウド利用者がクラウドサービスを利用する際の情報セキュリティ確保のため

①クラウド利用者自ら行うべきこと

②クラウド事業者に対して求める必要のあること

③クラウドコンピューティング環境における情報セキュリティマネジメントの仕組み

についてまとめられています。

また本ガイドラインは、情報セキュリティマネジメントの国際的な規格（ISO/IEC27002:2005）をベースとして、クラウドサービス利用の視点から各項目がまとめられています。

情報セキュリティマネジメントシステム（ISMS）の認証基準JIS Q 27001：2006（ISO/IEC 27001：2005）の認証を取得している組織（2011年4月1日現在：3,795ヶ所）は勿論、一般企業がクラウドサービスを利用する際には、本ガイドラインを参考にして管理策を実施するのに役立ちそうです。

しかし利用者側が管理策を実施する際、クラウド事業者への要求事項が出てきた場合、国内外のクラウド事業者がどこまで対応できるかが課題になります。

本ガイドラインは、まずはクラウド利用者と事業者間のコミュニケーションツールとして利用はできそうですが、実効レベルに向けての双方の今後の取り組みが必要となります。

これまでの導入型であれば、ＩＴ資源は自社のマネジメント配下にありましたが、クラウドサービス利用となれば、その大部分がクラウド事業者に依存してしまいます。

プライベートクラウドであれば、利用者側の要求事項に対して事業者側がある程度対応してくれるかもしれませんが、パブリッククラウドやＳａａＳ利用となると難しくなります。

ガイドラインの位置付け（参照：序文）

クラウドサービスの利用にかかわるリスク対応のために

• ・JIS Q 27002（実践のための規範）から適切な管理策を選択し

• ・導入するための助言とその最適な実施のための手引を提供

JIS Q 27002（実践のための規範）と本ガイドラインが意図している適用

• ・JIS Q 27002（実践のための規範）：すべての組織に適用できることを意図

• ・本ガイドライン：組織事業の基礎を成す情報資産の多くをクラウドサービスにゆだねる組織に適用できることを意図

本ガイドラインは、JIS Q 27002（実践のための規範）に示された一般的原則の上に立ちながら、全面的にクラウドサービスを利用するという特殊な場合を想定するもの。

情報資産の多くを組織内に保持しつつ補完的にクラウドサービスを利用する場合には、組織内の情報資産については従来通りの管理策を実施し、クラウドサービス利用にかかわるプロセスについてはこのガイドラインを参考にして、適宜必要となる管理策を選択することが望ましい。

ガイドラインの適用範囲（参照：序文）

組織事業の基礎を成す情報資産の多くを、外部組織であるクラウド事業者が提供するクラウドサービスにゆだねようとする組織が

JIS Q 27002（実践のための規範）に規定された管理目的を達成するための管理策を実施しようとする場合

【参考】

◇クラウドサービス利用のための情報セキュリティマネジメントガイドライン
　（平成23年4月1日　経済産業省）

◇当サイト

2010.8.16　クラウドと日本の競争力に関する報告書　－経済産業省－
「クラウドコンピューティングと日本の競争力に関する研究会」報告書の公表
（平成22年8月16日　経済産業省）

日本の強みを生かしたクラウドコンピューティング環境の実現に向けて、国とユーザーと提供者が取り組むべき方策案がまとめられています。

報告書と合わせて、「クラウドサービスレベルのチェックリスト」も公開されており、利用者がクラウドサービス全般を比較する際参考になります。

2010.5.20　クラウド活用？　ＩＴガバナンスを徹底せよ！

ＩＴ業界の今後　≫　クラウド利用　情報セキュリティマネジメントガイドライン