トーマツ 企業リスク 企業リスク の言葉 www.deloitte.com/jp/book/er クラウド監査基準 トーマツ企業リスク研究所 主任研究員 富田 1.はじめに 克二 きセキュリティ対策を「クラウドサービス提供における情 報セキュリティ対策ガイドライン」として策定している。 経済産業省は、クラウド事業者に求められるセキュリ クラウドサービスの利用が拡大している一方で、利用者 ティ事項とクラウド利用者自ら行うべきセキュリティ事項 から見るとクラウド事業者のセキュリティ対策の実施状況 を「クラウドサービス利用のためのクラウドセキュリティ は不透明な場合があり、不安要因の一つとなってクラウド マネジメントガイドライン」として策定している。 サービスの利用を見送る企業が多数存在するとも言われて CSA(Cloud Security Alliance)は、クラウドサービスに いる。 おけるセキュリティ課題を整理し、クラウド事業者および 情報セキュリティに関する認証はISO/IEC27001:2013 利用者が検討すべき事項を 「クラウドセキュリティガイダン (JIS Q 27001:2014)が広く知られているが、一般的なセ ス」として定めている。 キュリティマネジメントに係わるPDCAサイクルの実施状況 前述のISO/IEC27001:2013はセキュリティマネジメ を認証するものであり、クラウドサービスそのもののセキュ ントに係わる事項であるが、現在クラウドコンピューティ リティ対策を認証するものではない。 ングの情報セキュリティにおける国際標準となるISO/ このためクラウド事業者側が満たすべきセキュリティの IEC27017の策定作業が進められている。 ガイドラインやセキュリティ対策の実施状況を監査するガ イドラインの重要性が増してきている。 2.クラウドセキュリティ のガイ ドライン 3.クラウドセキュリティ の監査基準 情報セキュリティに係わる監査を実施する場合、監査 人は適切な監査項目を設定する必要がある。通常、情報セ クラウド事業者および利用者に求められる一定の水準の キュリティの監査の場合、 「情報セキュリティ監査基準」 「情 セキュリティレベルを示すために、国内外の機関・団体等に 報セキュリティ監査手続ガイドライン」が利用されること よってクラウドセキュリティに係わるガイドラインが策定・検 が多いと想定される。しかし、クラウドサービスの場合、特 討されている。主要なガイドライン例は以下のとおりである。 性を考慮する必要があり、クラウドサービスに対応した監 総務省は、クラウド事業者が他クラウド事業者と連携す 査に利用できるガイドラインも策定されている。 る場合および利用者へサービス提供する場合に留意すべ 例えばCSAはセキュリティに関するコントロール項目を 2014/07 季刊 ● 企業リスク 97 企業リスク の言葉 「クラウドコントロールマトリックス」として策定している。 また、日本セキュリティ監査協会(以下、JASA)は、 「ク トーマツ 企業リスク www.deloitte.com/jp/book/er バックナンバーの ご案内 第 43 号(2014年4月号) ラウドサービス利用のためのクラウドセキュリティガイ ドライン」をもとにクラウド事業者が実施すべきセキュリ ティに関するマネジメントおよび管理策を「クラウド情報 セキュリティ管理基準」として策定している。 特集 戦略アプローチからの 統合報告 ●動向解説 4.クラウドセキュリティ に係わる認証・監査 制度 BSI(英国規格協会)は、STAR認証を実施している。STAR 認証は、ISO/IEC27001:2013の要求事項と「クラウドコン トロールマトリックス」を基準として、クラウドサービスのセ キュリティの成熟度を評価する。認証のレベルは、自己評価 のSTAR1、第三者評価のSTAR2、継続監視の3段階がある。 また、JASAがとりまとめ団体となっているJASA-クラウ ドセキュリティ推進協議会は、 「クラウド情報セキュリティ 管理基準」を基にした監査制度の整備を進めており、2014 年度中に運用開始を予定している。認証のレベルは、内部監 査のシルバー、外部監査のゴールドの2段階である。 SOCは、米国公認会計士協会(AICPA)の基準を利用した 監査制度である。その中でもSOC2/SCO3は、業務受託会 社のセキュリティ、可用性、処理のインテグリティ、機密保持 およびプライバシーに係わる内部統制を対象にするもので あり、クラウド事業者に適用する評価対象を選定すること で、クラウド事業のセキュリティ対策に対する保証として利 用するケースも見受けられる。 日本でもSOCと同様の保証業務が、日本公認会計士協 会IT委員会実務指針第7号「受託業務のセキュリティ・可用 性・処理のインテグリティ・機密保持に係る内部統制の保証 報告書」として開始されている。 2014/07 季刊 ● 企業リスク 98 ●国際統合報告フレームワークの解説 ●投資家インタビュー((株)日本ベル投資 研究所 代表取締役 鈴木 行生氏) ●企業インタビュー(伊藤忠商事株式会社、 オムロン株式会社、株式会社ローソン) 研究室 ●共通価値の創造 (CSV:Creating Shared Value) ●企業リスクマネジメント調査 2013年の調査結果 ●2014年 グローバルリスクの今後の動向 連載 ●企業リスクの現場 第4回 サイバー攻撃について考える トーマツ企業リスク研究所 季刊誌「企業リスク」のご案内 ∼企業を取り巻く、様々なリスク管理活動を支援する専門誌∼ トーマツ企業リスク研究所では、企業を取り巻く様々なビジネスリスクへ適切に対処するための 研究活動を行っています。本誌「企業リスク」は、毎号、各種リスクに関する実務経験を備えた 専門家の知見をお届けします。 ■概要 〈発 行〉1月・4月・7月・10月(年4回) 〈扱う主なテーマ〉コーポレートガバナンス、コンプライアンス、 内部統制、ITガバナンス、IT統制、不正対応、 海外子会社ガバナンス、知的財産、事業継続、 CSR、各種法改正に伴う対応等 〈主 な ご 購 読 層〉事業会社の内部統制、内部監査、経営企画、 リスクマネジメント等に従事されている方 ■掲載コーナーご紹介 ○先進企業の取り組みをご紹介する「企業リスク最前線」 ○最新の重要テーマを多角的な視点から解説する「特集」 ○法改正とそれに伴う企業の影響を詳説する「研究室」 ○専門的な知見をわかりやすくお伝えする「企業リスクの現場」 攻め・守りの双方向から、企業が経営を適切に推進するための 最新情報が詰まった一冊です。 貴社のガバナンス体制構築に、ぜひお役立てください。 季刊誌「企業リスク」WEBサイトはこちら 無料試読のご案内 「企業リスク」の無料試読を承っております。 ※最新号のみに限らせていただいております。 ※お1人様1回のみお申込みいただけます。 無料試読のお申込みはこちら バックナンバー記事のご案内 「企業リスク」のバックナンバー記事を WEBサイトで無料公開しております。 ぜひご覧ください。 バックナンバー記事の閲覧はこちら 〈トーマツ企業リスク研究所とは〉 トーマツ企業リスク研究所は、企業リスクの有効なコントロールが注目される中、激変する経営環境に伴って変化する企業リスクとその管理 について研究する専門部署として2002年10月より監査法人トーマツ (現:有限責任監査法人トーマツ)内に設置されました。 トーマツ企業リスク研究所は、企業が直面するさまざまなリスクを研究対象し、その研究成果に基づきセミナーの開催、Webサイトによる情 報提供、季刊誌の発行などを行います。 トーマツ企業リスク研究所の詳細はこちら
© Copyright 2024 ExpyDoc