1. No category

トーマツ 企業リスク
企業リスク
の言葉
www.deloitte.com/jp/book/er
クラウド監査基準
トーマツ企業リスク研究所 主任研究員　富田
1.はじめに
克二
きセキュリティ対策を「クラウドサービス提供における情
報セキュリティ対策ガイドライン」として策定している。
経済産業省は、クラウド事業者に求められるセキュリ
クラウドサービスの利用が拡大している一方で、利用者
ティ事項とクラウド利用者自ら行うべきセキュリティ事項
から見るとクラウド事業者のセキュリティ対策の実施状況
を「クラウドサービス利用のためのクラウドセキュリティ
は不透明な場合があり、不安要因の一つとなってクラウド
マネジメントガイドライン」として策定している。
サービスの利用を見送る企業が多数存在するとも言われて
CSA（Cloud Security Alliance）は、クラウドサービスに
いる。
おけるセキュリティ課題を整理し、クラウド事業者および
情報セキュリティに関する認証はISO/IEC27001:2013
利用者が検討すべき事項を
「クラウドセキュリティガイダン
(JIS Q 27001:2014)が広く知られているが、一般的なセ
ス」として定めている。
キュリティマネジメントに係わるPDCAサイクルの実施状況
前述のISO/IEC27001:2013はセキュリティマネジメ
を認証するものであり、クラウドサービスそのもののセキュ
ントに係わる事項であるが、現在クラウドコンピューティ
リティ対策を認証するものではない。
ングの情報セキュリティにおける国際標準となるISO/
このためクラウド事業者側が満たすべきセキュリティの
IEC27017の策定作業が進められている。
ガイドラインやセキュリティ対策の実施状況を監査するガ
イドラインの重要性が増してきている。
2.クラウドセキュリティ
のガイ
ドライン
3.クラウドセキュリティ
の監査基準
情報セキュリティに係わる監査を実施する場合、監査
人は適切な監査項目を設定する必要がある。通常、情報セ
クラウド事業者および利用者に求められる一定の水準の
キュリティの監査の場合、
「情報セキュリティ監査基準」
「情
セキュリティレベルを示すために、国内外の機関・団体等に
報セキュリティ監査手続ガイドライン」が利用されること
よってクラウドセキュリティに係わるガイドラインが策定・検
が多いと想定される。しかし、クラウドサービスの場合、特
討されている。主要なガイドライン例は以下のとおりである。
性を考慮する必要があり、クラウドサービスに対応した監
総務省は、クラウド事業者が他クラウド事業者と連携す
査に利用できるガイドラインも策定されている。
る場合および利用者へサービス提供する場合に留意すべ
例えばCSAはセキュリティに関するコントロール項目を
2014/07 季刊
●
企業リスク 97
企業リスク
の言葉
「クラウドコントロールマトリックス」として策定している。
また、日本セキュリティ監査協会（以下、JASA）は、　「ク
トーマツ 企業リスク
www.deloitte.com/jp/book/er
バックナンバーの
ご案内
第 43 号（2014年4月号）
ラウドサービス利用のためのクラウドセキュリティガイ
ドライン」をもとにクラウド事業者が実施すべきセキュリ
ティに関するマネジメントおよび管理策を「クラウド情報
セキュリティ管理基準」として策定している。
特集
戦略アプローチからの
統合報告
●動向解説
4.クラウドセキュリティ
に係わる認証・監査
制度
BSI（英国規格協会）は、STAR認証を実施している。STAR
認証は、ISO/IEC27001:2013の要求事項と「クラウドコン
トロールマトリックス」を基準として、クラウドサービスのセ
キュリティの成熟度を評価する。認証のレベルは、自己評価
のSTAR1、第三者評価のSTAR2、継続監視の3段階がある。
また、JASAがとりまとめ団体となっているJASA-クラウ
ドセキュリティ推進協議会は、
「クラウド情報セキュリティ
管理基準」を基にした監査制度の整備を進めており、2014
年度中に運用開始を予定している。認証のレベルは、内部監
査のシルバー、外部監査のゴールドの2段階である。
SOCは、米国公認会計士協会(AICPA)の基準を利用した
監査制度である。その中でもSOC2/SCO3は、業務受託会
社のセキュリティ、可用性、処理のインテグリティ、機密保持
およびプライバシーに係わる内部統制を対象にするもので
あり、クラウド事業者に適用する評価対象を選定すること
で、クラウド事業のセキュリティ対策に対する保証として利
用するケースも見受けられる。
日本でもSOCと同様の保証業務が、日本公認会計士協
会IT委員会実務指針第7号「受託業務のセキュリティ・可用
性・処理のインテグリティ・機密保持に係る内部統制の保証
報告書」として開始されている。
2014/07 季刊
●
企業リスク 98
●国際統合報告フレームワークの解説
●投資家インタビュー（（株）日本ベル投資
研究所 代表取締役　鈴木 行生氏）
●企業インタビュー（伊藤忠商事株式会社、
オムロン株式会社、株式会社ローソン）
研究室
●共通価値の創造
（CSV：Creating Shared Value）
●企業リスクマネジメント調査
2013年の調査結果
●2014年 グローバルリスクの今後の動向
連載
●企業リスクの現場
第4回 サイバー攻撃について考える
トーマツ企業リスク研究所
季刊誌「企業リスク」のご案内
∼企業を取り巻く、様々なリスク管理活動を支援する専門誌∼
トーマツ企業リスク研究所では、企業を取り巻く様々なビジネスリスクへ適切に対処するための
研究活動を行っています。本誌「企業リスク」は、毎号、各種リスクに関する実務経験を備えた
専門家の知見をお届けします。
■概要
〈発 行〉1月・4月・7月・10月（年4回）
〈扱う主なテーマ〉コーポレートガバナンス、コンプライアンス、
内部統制、ITガバナンス、IT統制、不正対応、
海外子会社ガバナンス、知的財産、事業継続、
CSR、各種法改正に伴う対応等
〈主 な ご 購 読 層〉事業会社の内部統制、内部監査、経営企画、
リスクマネジメント等に従事されている方
■掲載コーナーご紹介
○先進企業の取り組みをご紹介する「企業リスク最前線」
○最新の重要テーマを多角的な視点から解説する「特集」
○法改正とそれに伴う企業の影響を詳説する「研究室」
○専門的な知見をわかりやすくお伝えする「企業リスクの現場」
攻め・守りの双方向から、企業が経営を適切に推進するための
最新情報が詰まった一冊です。
貴社のガバナンス体制構築に、ぜひお役立てください。
季刊誌「企業リスク」WEBサイトはこちら
無料試読のご案内
「企業リスク」の無料試読を承っております。
※最新号のみに限らせていただいております。
※お1人様1回のみお申込みいただけます。
無料試読のお申込みはこちら
バックナンバー記事のご案内
「企業リスク」のバックナンバー記事を
WEBサイトで無料公開しております。
ぜひご覧ください。
バックナンバー記事の閲覧はこちら
〈トーマツ企業リスク研究所とは〉
トーマツ企業リスク研究所は、企業リスクの有効なコントロールが注目される中、激変する経営環境に伴って変化する企業リスクとその管理
について研究する専門部署として2002年10月より監査法人トーマツ
（現：有限責任監査法人トーマツ）内に設置されました。
トーマツ企業リスク研究所は、企業が直面するさまざまなリスクを研究対象し、その研究成果に基づきセミナーの開催、Webサイトによる情
報提供、季刊誌の発行などを行います。
トーマツ企業リスク研究所の詳細はこちら