クラウド利用の拡大とともに求められるクラウドサービスセキュリティ
近年、利便性・拡張性・コストメリットなどから、近年多くの企業でクラウドサービスを採用されるケースが増えてきており、その急速な普及とともに、セキュリティに関する有効な取り組みを求める気運も高まっています。
ISO27001(情報セキュリティマネジメントシステム)ISMSは、多くの企業が取得していますが、最近はオンプレミスだけでなく、クラウド上での情報処理が増加しています。
ISMSとは
近年、ITシステムやネットワークは社会インフラとして不可欠なものとなっているが、一方で標的型攻撃やランサムウェアなどによる被害・影響も多発している。こうした中、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。
ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。
(一般社団法人情報マネジメントシステム認定センターより引用)
そのような動きに対し、ISO/IEC 27001を強化し、クラウドサービスにも対応した情報セキュリティ管理体制を構築する必要性が出てきました。
そこで、クラウドサービスに関する情報セキュリティ管理策のガイドライン規格として、ISO/IEC 27017が策定されました。情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取り組みをISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができるようになります。また、ISO/IEC 27001とISO/IEC 27017の両方の認証を取得することで、クラウドサービスセキュリティへの堅実な取り組みを対外的にアピールすることができます。
ISO/IEC 27017の対象となるのは、以下の組織とされています。
- クラウドサービスを提供する組織 [ クラウドサービスプロバイダ(CSP)]
- クラウドサービスを利用する組織※ [ クラウドサービスカスタマ(CSC)]
補足として、営業支援システムや顧客管理システムなど、組織が運用するシステムにクラウドサービスを利用している場合、対象となるとされています。また、クラウドサービスを提供する過程で他組織の提供するクラウドサービスを利用している場合、CSPとCSC両方に該当します。
このISO取得で得られるのは、クラウドサービスが持つ固有のリスクを低減し、同時に企業価値の向上を外部に広くアピールできることとなります。
クラウドDCIMサービス
最近、お客様から「DCIMをクラウドサービスとして利用するオプションはあるか?」という質問をよく受けるようになりました。クラウドサービスを利用することで、リソースを持たなくてもよくなることや、システムメンテナンスの手間が省けるという身軽さが市場に浸透していることが理由だと思います。
DCIMをクラウドサービスとして提供する試みは、シュナイダーエレクトリック社が2017年頃にローンチしたEcostruxure ITによるDCIMのクラウドサービスが最初だったと思います。クラウドサービスとして利用するDCIMをDMaaS(Data Center Management as a Service)と呼ぶことがあります。
その後、他のDCIMベンダーも少しずつクラウドサービスのオプションを提供し始め、DMaaSはDCIM導入のオプションの一つとして認知されつつあります。
しかし、セキュリティレベルの高いデータセンター内インフラリソースの情報管理を行うDCIMは、本来はセキュアなオンプレミス環境内に構築することが今でも主流の考えです。そのため、クラウド上にセキュリティレベルの高いデータを置いてクラウドサービスとして利用する場合、クラウドサービスプロバイダ(CSP)がISO/IEC 27017を取得しているかを確認することが重要です。また、自社でも同ISOを取得することが望ましいと言えるでしょう。
(共著:M.M氏)
データセンターインフラ運用課題解決に向けたご相談は、DCIMのスペシャリストである弊社までご相談ください。
弊社のDCIMソリューションページはこちら