top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

クラウドセキュリティ監査サービス

クラウドセキュリティ監査サービスの必要性

情報システムの導入・運用コストの軽減などを期待することができるコンピュータの新しい利用形態として、「クラウド・コンピューティング」(以下、クラウド)」が注目されています。
しかしながら、社外クラウドサービスにおいては、クラウドサービスを提供するサービス事業者の情報セキュリティ管理の実態が把握しがたいといった懸念があります。
また、自社システムへのクラウド技術採用においては、 仮想化技術をはじめとしたクラウド固有の脅威や脆弱性がわからない状況があります。
そこで、社外クラウドサービスのセキュリティ確保や仮想化環境の導入による新たなセキュリティ対応について、サービス管理主体を明確にした上で、情報セキュリティ管理状況を認識し、有効かつ必要な対策の見直しが必要になります。

クラウドセキュリティ監査サービスの概要

クラウドサービスのセキュリティについて、管理系と技術系に分けてセキュリティ対策の有効性を監査します。

・管理系は、サービス事業リスクに対し、サービス合意・見直し及び社内のサービス運用保守管理について、セキュリティ管理の有効性を確認します。

管理系

・技術系は、サービス提供に必要なクラウド基盤技術(仮想化ソフトウェア、仮想マシンなど)およびアプリケーションに対する脅威への対応状況を確認します。またサーバを設置している施設、サービスの運用に必要な設備に関わる情報セキュリティ上の脅威への対応状況の確認を加え、セキュリティ管理の有効性を確認します。

技術系

ステップ

調査準備として、概要インタビューを実施し、当社が保有するクラウドサービス用チェックリストから今回の調査項目を整理します。
次に、インタビュー・文書閲覧により、確認調査を実施します。
そして、管理系(サービス合意・見直し及び社内のサービス運用保守管理)及び技術系(クラウド基盤技術及びアプリケーションに対する脅威への対応状況、施設状況)について、調査結果から問題点を分析し、改善案を提言します。

[インタビュー・文書閲覧]

Q&A

クラウドサービス事業者への監査はどのように行われますか。

クラウドサービス事業者への監査を実施する場合は、クラウドサービス契約の中に監査実施に関する取り決めがされていることが前提となります。その範囲内で、標準的なクラウドに関する情報セキュリティ管理基準にもとづくチェックリストを送付し、サービス事業者からの回答を分析します。また、必要に応じて情報の取り扱い状況の観点から、現地監査(サービス契約に基づく)を行います。

改善提言には、自社におけるクラウド導入に関する規程整備も含まれますか。

クラウドセキュリティ監査により抽出した、お客様の現行の情報セキュリティ規程などの過不足を指摘し、必要なクラウド導入基準について助言を行います。 具体的な規程整備につきましては、別途整備支援サービスとして対応可能です。

仮想マシンなどのクラウド環境に対する脆弱性確認もサービスの範囲に含まれますか?

含まれていません。
技術的な脆弱性確認につきましては、当社別サービスの「クラウドシステム検査」をあわせてご案内しています。

Pagetop