ISMS認証とは？AWSが取得している認証と選ばれる理由を解説

ISMSとは？

ISMSとはInformation Security Management Systemの略称で、情報セキュリティを管理するための仕組みのことです。

情報の機密性、完全性、可用性のフレームワークで、維持・改善し運用、管理することが求められます。

審査機関の審査のもと、ISMSの認証基準を満たした場合、ISMS認証が付与されます。

情報セキュリティ（IS）とは？

インターネット環境での情報やデータ、利用するパソコンの端末を安全に使えるよう、必要な対策を実施することを言います。

情報の「機密性」「完全性」「可用性」を確保することが、情報セキュリティを保つための要素になります。

「機密性」とは、アクセス許可をされた人だけがアクセスできるようにすることで、「完全性」とは、情報または情報処理が完全に正確であることです。「可用性」とは、アクセス許可をされた人が、確実に情報にアクセスできるようにすることを言います。

この3つをバランスよく対策することが、情報セキュリティでは大切とされています。

マネジメントシステム（MS）とは？

情報セキュリティに対して、方針、目的、目標を定め、それを達成するために、組織の資源、人、物、金をどのように投入しどのような効果があるかを検討する、組織の一連の要素を指します。

現在あるルールと競合してしまったり、定めたルールが現場の状況と乖離してしまうことを防ぐために、PDCAサイクルを利用し、全体としてまとまりのある、ルールの策定、運用をすることが大切になります。

ISMS認証を取得するメリット

情報セキュリティに対して一定のレベルを有していることから、顧客からの信頼性を得ることができます。

信頼性を得るだけではなく、他社との差別化ができる点も、アピールポイントの1つになるでしょう。

またISMS認証を取得することによって、情報セキュリティリスクの低減や、従業員の情報セキュリティに関する意識やモラルを向上させることができるため、対外的なメリットだけではなく、社内的にもメリットがあると言えるでしょう。

ISMS認証を取得するデメリット

業務の負荷とコストが、ISMS認証を取得するデメリットになります。

管理策が114個あり、それに対応するためのマニュアルや記録文章が必要となるため、今までの自社のやり方と違う場合は、負担が大きくなってしまいます。

ISMSを担当するスタッフを配備し、定期的な内部監査や継続審査、3年に1回の再認証審査に対応する必要があります。

ISO/IEC27001とは？

ISMSは情報セキュリティを管理する仕組みで、ISO/IEC27001は、どのようにISMSを構築するかを定めた国際規格のこと指します。

ISO/IEC27001をベースとして作成された、国内の規格をJIS Q 27001と言い、内容はほぼ同じとなっています。

クラウドを提供している、AmazonのAWSやGoogleはISMSクラウドセキュリティ認証の対称とされています。

ISMSクラウドセキュリティ認証とは、ISO/IEC27001の規格を満たしているクラウドサービスの組織に与えられる認証です。

AWSが取得している認証

AWSでは、適切なセキュリティ管理を証明するために、様々な第三者認証を取得しています。

データセンターに立ち入ったり、サーバーに触れることはできないため、認証を取得することで、より透明性を確保し、セキュリティを証明しています。

ここからは、AWSが取得している代表的なセキュリティの認証をご紹介します。

ISO27017

クラウドサービスに対して適用される、クラウドセキュリティの第三者認証です。

クラウドサービスサービスを提供する側と利用する側、両方の立場で取得することができます。取得する場合は、最大で79個の管理策を検討する必要があります。

日本でも多くの企業が取得していて、世界的にはAmazon、GoogleもISO27017認証を取得しています。

ISO27001

情報セキュリティシステムの3大要素、「機密性」、「完全性」、「可用性」を継続的に改善することがコンセプトになっています。

情報セキュリティの基本方針、組織マネジメント、アクセス制御などが評価対象となっていて、情報システム企業のみならず、人材派遣業、印刷業、廃棄物処理業、広告業、介護・福祉業などの業種で取得されています。

SOC1、SOC2、SOC3

SOCとは、アメリカとカナダの公認会計士協会によって策定された、内部統制という概念をクラウドサービスの評価として利用したものです。

「SOC1」、「SOC2」、「SOC3」とそれぞれ呼ばれ、内部統制の取り組みごとに、3つのレベルに分かれています。「SOC1」は財務報告についての内部統制なので、クラウドサービス事業主は主に、「SOC2」と「SOC3」の2つを留意する必要があります。

また、クラウドサービスの評価で重要な「SOC2」タイプ2を取得している企業は、セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーの5つの要素に基づき、運用、テスト実施済、外部監査などを受けていることを示します。

AWSが選ばれる理由

AWSは数百万以上の人に利用されている、クラウドサービスです。

Amazonが自社の商品管理のため構築したインフラやアプリケーションを、クラウドサービスとして公開し、AWSサービスの提供を開始しました。

セキュリティ面も安全なAWSですが、その他にAWSが選ばれる理由をご紹介します。

低価格でITリソースが使える

AWSは初期費用が無料です。

インフラを構築するとなると、要件定義やハードウェアの調達など、複雑で時間とコストがかかりますが、AWSは初期費用なしで導入ができます。

また、従量課金型なので、繫盛期のタイミングでITリソースを増やし、不要になったら停止し、自社のタイミングに合わせてコストを調整することができます。

サービスの種類が豊富

200以上のサービスが現在AWSで公開されています。

AWSのサービスは、実際に利用している顧客からのリクエストを基に、実装されました。

Webサイトを運用するAmazon EC2、データのバックアップ・復元ができるAmazon S3、その他にもIoTソリューションの構築、業務アプリケーションの利用も、AWSのサービスとして提供されています。

日本語によるサポート

24時間365日、日本語によるビジネスサポートを利用することができます。

電話やチャット、メールでのお問い合わせを回数制限なしで利用でき、おおよそ1時間以内に返答があります。

設定方法や構築方法なども問い合わせることができ、緊急時にもタイムリーな対応を受けることができます。

マネージドサービスで運用の負荷を軽減

マネージドサービスとは、運用、管理などをまとめて提供してくれるサービスのことを指します。

例えば、Amazon RDSやHadoopのマネージドサービスには、AWS Elatic MapReduceがあります。

マネージドサービスでは、変更管理、インシデント管理、プロビジョニング管理、パッチ管理、アクセス管理などの機能を提供しています。

高いセキュリティを確保するAWSを利用しよう！

AWSはセキュリティを最優先事項として、2006年からクラウドサービスを提供してきました。

また、MicrosoftやGoogle、IBMなど世界には様々なクラウドベンダーが存在しますが、AWSはクラウド市場世界シェア第1位を獲得しています。

24か所もの国・地域でAWSが稼働していて、これらの国・地域のことをリージョンと呼びます。各リージョンにつき、最低2つ以上のデータセンターが設けられていて、日本国内では、東京リージョン、大阪ローカルリージョンが稼働しています。

アメリカ、アジア、欧州、中東、アフリカなど、世界各国でセキュリティ認証を受けていて、信頼できるセキュリティを確保しているAWSを利用してみてはいかがでしょうか。