著者
佐藤 栄城 原田 要之助
雑誌
研究報告電子化知的財産・社会基盤(EIP)
巻号頁・発行日
vol.2013, no.1, pp.1-10, 2013-02-08

近年、パブリッククラウドサービスが普及しており、ユーザ企業 (以下、ユーザという) は自社でハードウェアリソースなどを管理することなく様々な情報システムを利用することが可能となっている。しかし、多くのユーザは自社管理下と比べて情報セキュリティの脅威をパブリッククラウドサービスよりも高く感じているのが現状である。そのため、パブリッククラウドサービスを受けるときに、事業者を選定する上で ISMS や P マークなどの第三者認証取得の有無を参考とすることが多い。これらの認証制度はユーザが期待する情報セキュリティを必ずしも保証するものではなく、ユーザの期待と実際の保証との間にギャップが生じていると考えられる。これらを示す例として、両認証を取得していたファーストサーバ社 (FS 社) が引き起こしたデータ滅失・漏えい事故について考察する。本稿においては、 FS 社の事故を参考に ISMS や P マークなどに見られる第三者認証制度や保証サービスなどの特徴を比較し、その問題点について考察した。また、クラウドサービスなどの第三者認証制度や保証サービスに求められているものと現実とのギャップを説明するモデルを考察した。Recently, public cloud services have become popular. Business users can choose various information services without managing hardware resources on-premises, but the other hand, higher security threats compare with in-house systems are identified and recognized. Therefore, user entity tends to refer the presence of third parties certificates, such as the Privacy Mark (P-mark) of Japan or ISO/IEC 27001(ISMS) Certification, for selection of a cloud service provider. There is a gap between the user's expectations and the actual warranty coverage, for instance, guarantee of system safety is not considered in certification systems/process. The user's data loss and leakage case by First Server Corporation who has certified both certifications is studied as a case. In this paper, the features and problems in Third-party certifications as well as similar assurance service, information disclosure are summarized and compared. A model is proposed to explain gaps with actual coverage and the required elements for certification in cloud services.