セキュリティに強いクラウドサービスを見分けるには、クラウドセキュリティ認証の取得状況、ISMAPへの登録有無、省庁公開ガイドラインとの整合性の3つの基準で評価することが有効です。
- クラウドセキュリティ認証の取得状況
第三者機関による認証を取得しているサービスは、セキュリティ対策が一定水準以上であることが客観的に証明されています。代表的な認証には、CSマーク(JASA)、ISMSクラウドセキュリティ認証(ISO/IEC 27017)、SOC 2(AICPA)、CSA STAR、FedRAMPがあります。 - ISMAP(イスマップ)への登録有無
ISMAP(日本政府情報システムのためのセキュリティ評価制度)のクラウドサービスリストに登録されているサービスは、政府が求める高水準のセキュリティ要件を満たしています。 - 省庁公開ガイドラインとの整合性
総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」やデジタル庁の基本方針など、公的ガイドラインに沿った運用がなされているかを確認することで、利用形態に合った対策水準を判断できます。
クラウドサービスの選定では、自社が利用するサービス形態(IaaS・PaaS・SaaS)に応じて上記3つの基準を組み合わせて評価することが重要です。
詳しい見分け方については「セキュリティに強いクラウドサービスの見分け方」をご覧ください。
