ITツール選定時にチェックしたい第三者認証・評価制度
ITツールを導入する際に1つの指標となるのが、ISOやSOCなどの認証制度です。近年では ISO 27017:2015 や ISO 27018:2014 など、クラウド技術・サービスに関する基準を定めたものも登場しており、技術の進歩や時代の流れに合わせて認証制度も変わってきています。ITツールの導入に携わっている方は、ツールを客観的に評価するためにも、認証制度の最新情報をキャッチアップし、その内容について正しく理解する必要があるでしょう。
本記事では、ドキュサインが取得している認証および評価を中心に、ITツール選定時にチェックしたい第三者認証・評価制度をご紹介します。
ISO(国際標準化機構)
ISO(International Organization for Standardization)とは、医療や農業、工業製品などさまざまな分野における世界共通基準を定める団体です。日本語では国際標準化機構と訳されます。ISOが定める国際標準規格はISO規格と呼ばれ、同規格自体をISOと呼ぶこともあります。本部はスイスのジュネーブにあり、世界165カ所に下部組織が点在しています。
ISOは「モノ規格」と「マネジメント規格」の2つに分類されています。モノ規格の例としては、「非常口のマーク」などがよく知られています。一方、マネジメント規格では仕組みなどの抽象的な事象の規格を定めています。例えば、品質管理や環境保護のための管理体制などが該当します。ISOについては以下の記事で詳しく解説しているので、あわせてご覧ください。
おすすめ記事:ISO(国際標準化機構)とは? ISOを取得する意義やメリットを解説
ドキュサインが取得しているISO規格
ドキュサインでは、情報セキュリティにかかるマネジメント規格であるISO 27001: 2013、ISO 27017: 2015、ISO 27018: 2014の3つを取得しています。特に、現在入手可能な最高レベルのグローバル情報セキュリティ保証であるISO 27001は、ドキュサインがセキュリティに関する厳しい国際標準を満たしていることをお客様に保証しています。これら3つの規格の内容について詳しく紹介していきます。
ISO 27001: 2013
ISO 27001: 2013では、組織環境内における情報セキュリティ管理システムの構築・実装・保守、および継続的な改善に取り組むための要件を規定しています。また、組織のニーズに合わせた情報セキュリティにおけるリスク評価・処理の要件も指定しています。この規格の特徴は、組織の形態や規模、性質に依存しないことです。すべての組織に適用できる包括的な基準を制定しています。現在入手できるグローバル情報セキュリティ保証のなかでも最高水準と言えるでしょう。
ISO 27017: 2015
ISO 27017: 2015では、クラウドサービスの提供・利用における情報セキュリティ管理の指標を設定しています。前述のISO 27001は情報セキュリティ全般に関するマネジメントシステム規格ですが、そこでの取り組みをISO 27017によって強化することで、クラウドサービスにも対応した情報セキュリティ管理体制の構築が可能になります。具体的な内容は以下の通りです。
- ISO 27002(*1)で規定されている管理項目に関連した追加の実装指標
- 特にクラウドサービスに関連した実装指標
このように、同規格はCSP(クラウドサービスプロバイダー)とクラウドサービス利用者に向けた内容となっています。
ISO 27018: 2014
ISO 27018: 2014は、パブリッククラウドコンピューティング環境向けの規格であるISO 29100のプライバシー方針に準拠したマネジメントガイドラインです。同規格では、個人情報の保護を目的とした対策を実施するために、一般的に受け入れられる管理目標・統制、指標を定めています。ISO 27018: 2014は、公共クラウドサービス提供者のセキュリティ環境下で適用される個人情報保護に関する規制要件を考慮したガイドラインとなっています。この要件はISO 27002(*1)をベースにしています。
ISO 27018: 2014は民間企業だけでなく、非営利組織や政府組織など、他の組織との契約のもと、クラウド上で個人情報を扱う情報処理サービスを提供するあらゆる組織に適用されます。
*1 ISO 27002は、組織の情報セキュリティ基準、及び情報セキュリティ管理実行のためのガイドラインを提供しています。
SOC(Service Organization Control)
SOC(Service Organization Control)とは、外部の公認会計士(CPA)がベンダーの信頼性や信用を保証するための報告書を作成することを目的としてまとめられた基準です。SOCは米国、カナダの公認会計士協会により設立されており、本来はITの分野に限定されるものではありません。
しかし、ITの進歩やクラウドサービスの普及により情報セキュリティやITサービスにおける機密保持などの基準が求められるようになり、それらも含めたものに拡張されました。SOCの報告書には「SOC1」「SOC2」「SOC3」の3つの種類があります。各報告書の概要は以下の通りです。
- SOC1:ユーザー企業の財務報告に係る受諾会社の内部統制に関する報告書
- SOC2:セキュリティ、可用性、処理の安全性、機密性、プライバシーに係る受諾会社の統制に関連した報告書
- SOC3:不特定多数の利用者に公開できる
クラウドサービスでは、セキュリティや機密性などを規定したSOC2が重視される傾向があります。
なお、ドキュサインではSOC1 Type2とSOC2 Type2を取得しており、サービスの質を保つために毎年、外部監査によるチェックを受け、厳格な管理を行っています。SOCが生まれた背景やType 1とType2の違いなどSOCに関する詳細は、以下の記事で詳しく解説しています。
おすすめ記事:クラウドサービスの信頼の証、SOCとは?
PCI DSS(Payment Card Industry Data Security Standard)
PCI DSS(Payment Card Industry Data Security Standard)はクレジットカードに係る個人情報、会員データが安全に取り扱われることを目的に制定された国際的なデータセキュリティ基準です。
運営母体のPCI SSC(Payment Card Industry Security Standards Council)は世界有数のクレジットカードブランドであるVISA、MasterCard、American Express、JCB、Discoverの5社の協力により設立されました。PCI DSSを取得すると、一定水準のセキュリティ基準を満たしていることの証明となり、企業の評価やユーザーからの信頼を獲得できます。
PCI DSSの対象者は、カード会社はもちろんのこと、クレジットカードを決済に利用する会社・小売店なども含まれ、広範にわたります。
PCI DSSでは、6つの目標と12の要件を掲げています。具体的な目標を以下に紹介します。
- 安全なネットワークの構築と維持
- 会員データの保護
- 脆弱性管理プログラムの維持
- 強固なアクセス制御手段の実装
- ネットワークの定期的な監視、及びテストの実施
- 情報セキュリティポリシーの維持
PCI DSSでは、上記の達成を目指して、各目標に対し具体的な要件を設定しています。例えば、「安全なネットワークの構築と維持」という目標に対しては、以下のように規定しています。
- 会員データを保護するために、ファイアウォールの構成をインストールして維持します
- パスワード、及びその他のセキュリティパラメータにベンダーが提供するデフォルト値を使用しない
このように、各目標に対して具体的な要件を設定して、クレジットカードに関する個人情報の保護に努めています。
まとめ
クラウドサービスの選定において重要なポイントとしてサービスの信頼性が挙げられます。今回ご紹介した認証制度はサービスの信頼性を確かめる客観的指標になります。選定基準のひとつとして、検討しているサービスが認証を取得しているか確認してみることをお勧めします。
ドキュサインでは、今回ご紹介した規格のほか、さまざまな認証を取得しており、日々セキュリティの強化に努め、セキュリティインシデントを未然に防ぐ取り組みを実践しています。また、コンプライアンス遵守や高可用性プラットフォームの実現にも努めています。DocuSign eSignature(ドキュサインの電子署名)をはじめとしたドキュサインの製品に関する詳細は、弊社営業担当までお電話(03-4588-5476)またはメールにてお気軽にお問い合わせください。
お問い合わせ →
出典:
