“Mr. Webex”が語る Webex のセキュリティ 〜シリーズ第 3 回〜「情報セキュリティの第三者認証」
皆さんこんにちは”Mr. Webex”です。
このブログは、Cisco Webex のセキュリティについてシリーズでお伝えし、安心してリモートを中心とした “New Normal” な働き方や生活を実践していただくことを目的としています。さて、前回のブログを執筆している最中に「オンライン診療 原則解禁へ」というニュースが入ってきたため、これについてブログの中で触れさせていただきましたが、今回もこのブログを書き終わった本日(2021 年 1 月 7 日)、「1 都 3 県に緊急事態宣言」が発令される事態となり、これとともに社員 7 割のテレワーク目標や宣言解除の条件などの数値目標も設定されました。
また、全国的に新型コロナの感染者数は増加の一途を辿っており、1 都 3 県だけではなく、他都県でも緊急事態宣言が発令されることが予想されています。1 日も早く新型コロナが収束することを願うばかりですが、現実にはまだまだ先が見えない状況で、テレワークの徹底や外出自粛など、縛られた生活がしばらく続きそうです。
このような状況の中、シスコでは Cisco Webex のライセンスをオンラインでご購入いただく場合に、期間限定で通常の 25 %オフ(3 ヶ月間無料同等)で提供する緊急施策を開始しました。詳しくはこちらをご確認下さい。また、これ以外にもテレワークのベストプラクティスや TIPS 集、オンラインイベントのノウハウの提供、YouTube チャンネル「Webex Japan(公式)」「今日から在宅-ITチャンネル(非公式)」の開設、ここに来てまた問い合わせが増加している教育機関向け Cisco Webex カタログや事例紹介の作成、そして国や自治体のニーズに特化して開発された「Regislate for Webex」のリリース、エンドユーザ向けコミュニティ「Webex Club」の運営、各種ウェビナーの開催などなど、コロナ禍における事業継続という観点で様々なコンテンツを提供していますので、是非ご参照いただければ幸いです。
Webex 期間限定プロモーション 年間契約で今だけ 25 %割引(3 ヶ月間無料相当)
それでは本題に移りますが、前回のブログでは Cisco Webex の提供を支えるデータセンターやバックボーンインフラのセキュリティについて解説させていただきました。今回は、Cisco Webex が取得する情報セキュリティの第三者認証について解説していきたいと思います。
なぜ、このブログで第三者認証について取り上げようと思ったのか?その理由ですが、第三者認証を取得することで、お客様に対して Cisco Webex がセキュアなクラウドサービスであることが客観性を持って示すことができるからです。別の言い方をすると、本当の意味でクラウドサービスが安全である事を証明するには第三者認証を取得するしか方法はないとさえ私は考えています。
第三者認証のメリットは、利害関係のない第三者が、公正且つ客観的な視点でセキュリティを審査することにあり、お客様がクラウドサービスを導入する際に、そのサービスの安全性を測る重要な判断材料となります。例えば、皆さんの生活の中でも「あの人は信頼できる人だよね。」と第三者が言っていれば、本人が自分で言っているよりよっぽど信用できますよね?それと同じです(笑)。
IT の世界でもこれと良く似たことがあり、サービスを提供する当事者に言葉巧みに安全性を説明され、それを信じて導入したはいいけど実際にはセキュリティに欠陥があり、導入後にセキュリティインシデントの被害にあうといったようなことが起こります。
新型コロナの感染拡大によって Cisco Webex をはじめとした Web 会議サービスの利用が爆発的に広がっていますが、それに伴ってセキュリティインシデントが増加しているのも事実です。シスコではコロナ以前より、お客様に安心して Cisco Webex をご利用いただけるよう、業界の中でも高水準の第三者認証を取得し、定期的に監査を受査することでその認証と安全性を維持しています。
狙われる個人情報 リモートワーク
それでは実際に Cisco Webex がどのような第三者認証を取得しているか細かく見ていきましょう。以下の図1に、Cisco Webex が取得している第三者認証、および準拠している規制を掲載しています。この図にあるように、第三者認証や規制は大きく分けると「情報セキュリティ+プライバシー」、「規制コンプライアンス」、「データ転送」の 3 つに分けられます。それぞれのカテゴリーに属する認証や規制を、満遍なく取得・準拠していることがお分かりいただけると思いますが、これらの中から ISO27001(ISMS認証)について説明しない訳にはいかないでしょう。なぜなら、ISO27001 は業界の中で最も広く知れわたった信頼度の高い情報セキュリティマネジメントシステムの国際規格で、情報セキュリティの 3 要素である情報の「気密性」、「完全性」、「可用性」をバランスよくマネジメントし情報を有効活用するための枠組みであり、実際に多くのお客様がサービス提供者にこの認証の取得を求めています。 それゆえに、認証取得のハードルは決して低くなく、サービス提供者は高いレベルのセキュリティ対策を実施する必要があります。また、Cisco Webex は ISO27001 だけではなく、管理策の枠組みをクラウドサービスまで拡大した規格である ISO27017、およびクラウドに保管されている個人情報の取り扱いに関する枠組みである ISO27018も取得し、その証明書を一般公開しています。ISO 以外にも、保証型監査であるSOC2 TypeⅡ や SOC3 の取得、EU のデータ保護規制である GDPR、ならびにアジアパシフィック地域のデータ転送規制である CBPR 等にも準拠しており、情報セキュリティからデータの取り扱いまで包括的に対策を実施していることがお分かりいただけます。
※SOC2 TypeⅡレポートについてはNDA締結下で開示可能。SOC3レポートについてはCisco Trust Portal上で一般公開しています。また、シスコのGDPRに対する取り組みはこちらに記載があります。
第三者機関機関による審査-Cisco Webex これからの認定を取得及び規制に準拠しています
次に FISC安全対策基準について説明したいと思います。FISC 安全対策基準とは、日本国内の金融業界におけるクラウドの利用促進を目的とした安全対策基準であり、金融機関等が実施すべきセキュリティ対策について物理的な管理策から技術的・運用的な管理策まで包括的に解説されています。また、金融庁の監督指針でも主要行、中小、地域金融機関等がシステムならびにセキュリティ対策を検討する上での参考文章として挙げられるなど、日本の金融機関における業界標準の一つとして広く認知、活用されています。サービス提供者は、FISC 安全対策基準の個別管理策に対する適合評価を実施し、準拠していることを利用者に対して表明することで、提供するクラウドサービスの安全性を示すことができます。日本国内では AWS や Google、そして SalesForce などが FISC 安全対策基準の準拠を表明しています。シスコでも 2017 年頃から Cisco Webex における FISC 安全対策基準の準拠に取り組んでおり、2018 年 4 月に初めて、当時の FISC 安全対策基準第 8 版への適合評価を完了し、準拠を表明しました。その後、FISC 安全対策基準は第 9 版に改定されましたが、2020 年に第 9 版に対する適合評価を改めて実施し、準拠を表明いたしました。FISC 安全対策基準第 9 版に掲載されている約 300 項目にわたる個別管理策に対する Cisco Webex の適合評価は「FISC 安全対策基準は第 9 版 適合シート」にまとめられており、お客様からのご要望により、いつでも開示可能となっています。Cisco Webex の適合シートは、第三者機関による調査内容が掲載されているため、より客観性と透明性の高いものになっていることが特徴です。
これまでセキュリティに厳しいとされてきた金融業界でもCisco Webex の利用が広がっていますが、Cisco Webex が FISC 安全対策基準に準拠しており、その安全性が高く評価されていることが利用拡大の背景にあると考えています。
FISC 安全対策基準第 9 版 適合シート
今回の情報セキュリティの第三者認証の話しはいかがだったでしょうか?上述の通り、第三者認証の取得はクラウドサービスの安全性を証明するうえで欠かせないものであり、第三者認証を取得していないクラウドサービスを利用するのはセキュリティ上のリスクをともないます。Cisco Webex のように数多くの第三者認証の取得や規制に準拠するには、膨大な人的リソースの投下や投資が必要となります。なぜそこまでして第三者認証を取得するのか?そこがまさに Cisco Webex の「製品思想」に関わる部分であり、シスコがシスコたる所以であると考えています。次回のブログではこの Cisco Webex の製品思想について詳しく説明させていただきます。
