2014/07 季刊 ● 企業リスク 97

　1.はじめに　クラウドサービスの利用が拡大している一方で、利用者

から見るとクラウド事業者のセキュリティ対策の実施状況

は不透明な場合があり、不安要因の一つとなってクラウド

サービスの利用を見送る企業が多数存在するとも言われて

いる。

　情報セキュリティに関する認証はISO/IEC27001:2013

(JIS Q 27001:2014)が広く知られているが、一般的なセ

キュリティマネジメントに係わるPDCAサイクルの実施状況

を認証するものであり、クラウドサービスそのもののセキュ

リティ対策を認証するものではない。

　このためクラウド事業者側が満たすべきセキュリティの

ガイドラインやセキュリティ対策の実施状況を監査するガ

イドラインの重要性が増してきている。

2.クラウドセキュリティ　のガイドライン　　

　クラウド事業者および利用者に求められる一定の水準の

セキュリティレベルを示すために、国内外の機関・団体等に

よってクラウドセキュリティに係わるガイドラインが策定・検

討されている。主要なガイドライン例は以下のとおりである。

　総務省は、クラウド事業者が他クラウド事業者と連携す

る場合および利用者へサービス提供する場合に留意すべ

きセキュリティ対策を「クラウドサービス提供における情

報セキュリティ対策ガイドライン」として策定している。

　経済産業省は、クラウド事業者に求められるセキュリ

ティ事項とクラウド利用者自ら行うべきセキュリティ事項

を「クラウドサービス利用のためのクラウドセキュリティ

マネジメントガイドライン」として策定している。

　CSA（Cloud Security Alliance）は、クラウドサービスに

おけるセキュリティ課題を整理し、クラウド事業者および

利用者が検討すべき事項を「クラウドセキュリティガイダン

ス」として定めている。

　前述のISO/IEC27001:2013はセキュリティマネジメ

ントに係わる事項であるが、現在クラウドコンピューティ

ングの情報セキュリティにおける国際標準となるISO/

IEC27017の策定作業が進められている。

3.クラウドセキュリティ の監査基準

　情報セキュリティに係わる監査を実施する場合、監査

人は適切な監査項目を設定する必要がある。通常、情報セ

キュリティの監査の場合、「情報セキュリティ監査基準」「情

報セキュリティ監査手続ガイドライン」が利用されること

が多いと想定される。しかし、クラウドサービスの場合、特

性を考慮する必要があり、クラウドサービスに対応した監

査に利用できるガイドラインも策定されている。

　例えばCSAはセキュリティに関するコントロール項目を

企業リスクの言葉

クラウド監査基準トーマツ企業リスク研究所 主任研究員　富田 克二

トーマツ 企業リスク www.deloitte.com/jp/book/er

2014/07 季刊 ● 企業リスク 98

特集

戦略アプローチからの統合報告●動向解説

●国際統合報告フレームワークの解説

●投資家インタビュー（（株）日本ベル投資　研究所 代表取締役　鈴木 行生氏）

●企業インタビュー（伊藤忠商事株式会社、　オムロン株式会社、株式会社ローソン）

研究室

●共通価値の創造　（CSV：Creating Shared Value）

●企業リスクマネジメント調査　2013年の調査結果

●2014年 グローバルリスクの今後の動向

連載

●企業リスクの現場　第4回 サイバー攻撃について考える

企業リスクの言葉

「クラウドコントロールマトリックス」として策定している。

　また、日本セキュリティ監査協会（以下、JASA）は、　「ク

ラウドサービス利用のためのクラウドセキュリティガイ

ドライン」をもとにクラウド事業者が実施すべきセキュリ

ティに関するマネジメントおよび管理策を「クラウド情報

セキュリティ管理基準」として策定している。

4.クラウドセキュリティ に係わる認証・監査 制度

　BSI（英国規格協会）は、STAR認証を実施している。STAR

認証は、ISO/IEC27001:2013の要求事項と「クラウドコン

トロールマトリックス」を基準として、クラウドサービスのセ

キュリティの成熟度を評価する。認証のレベルは、自己評価

のSTAR1、第三者評価のSTAR2、継続監視の3段階がある。

　また、JASAがとりまとめ団体となっているJASA-クラウ

ドセキュリティ推進協議会は、「クラウド情報セキュリティ

管理基準」を基にした監査制度の整備を進めており、2014

年度中に運用開始を予定している。認証のレベルは、内部監

査のシルバー、外部監査のゴールドの2段階である。

　SOCは、米国公認会計士協会(AICPA)の基準を利用した

監査制度である。その中でもSOC2/SCO3は、業務受託会

社のセキュリティ、可用性、処理のインテグリティ、機密保持

およびプライバシーに係わる内部統制を対象にするもので

あり、クラウド事業者に適用する評価対象を選定すること

で、クラウド事業のセキュリティ対策に対する保証として利

用するケースも見受けられる。

　日本でもSOCと同様の保証業務が、日本公認会計士協

会IT委員会実務指針第7号「受託業務のセキュリティ・可用

性・処理のインテグリティ・機密保持に係る内部統制の保証

報告書」として開始されている。

バックナンバーのご案内

第43号（2014年4月号）

トーマツ 企業リスク www.deloitte.com/jp/book/er

季刊誌「企業リスク」のご案内～企業を取り巻く、様々なリスク管理活動を支援する専門誌～

○先進企業の取り組みをご紹介する「企業リスク最前線」

○最新の重要テーマを多角的な視点から解説する「特集」

○法改正とそれに伴う企業の影響を詳説する「研究室」

○専門的な知見をわかりやすくお伝えする「企業リスクの現場」

〈発　　　　　行〉

〈主なご購読層〉

〈扱う主なテーマ〉コーポレートガバナンス、コンプライアンス、内部統制、ITガバナンス、IT統制、不正対応、海外子会社ガバナンス、知的財産、事業継続、CSR、各種法改正に伴う対応等

1月・4月・7月・10月（年4回）

事業会社の内部統制、内部監査、経営企画、リスクマネジメント等に従事されている方

攻め・守りの双方向から、企業が経営を適切に推進するための最新情報が詰まった一冊です。貴社のガバナンス体制構築に、ぜひお役立てください。

トーマツ企業リスク研究所

季刊誌「企業リスク」WEBサイトはこちら

トーマツ企業リスク研究所は、企業リスクの有効なコントロールが注目される中、激変する経営環境に伴って変化する企業リスクとその管理について研究する専門部署として2002年10月より監査法人トーマツ（現：有限責任監査法人トーマツ）内に設置されました。トーマツ企業リスク研究所は、企業が直面するさまざまなリスクを研究対象し、その研究成果に基づきセミナーの開催、Webサイトによる情報提供、季刊誌の発行などを行います。

〈トーマツ企業リスク研究所とは〉

「企業リスク」の無料試読を承っております。※最新号のみに限らせていただいております。※お1人様1回のみお申込みいただけます。

「企業リスク」のバックナンバー記事をWEBサイトで無料公開しております。ぜひご覧ください。

無料試読のご案内 バックナンバー記事のご案内

無料試読のお申込みはこちら バックナンバー記事の閲覧はこちら

トーマツ企業リスク研究所の詳細はこちら

トーマツ企業リスク研究所では、企業を取り巻く様々なビジネスリスクへ適切に対処するための研究活動を行っています。本誌「企業リスク」は、毎号、各種リスクに関する実務経験を備えた専門家の知見をお届けします。

■掲載コーナーご紹介

■概要