日本セキュリティ監査協会(JASA)は2013年4月25日、日本国内のクラウド事業者や監査事業者25社と共に、「JASA-クラウドセキュリティ推進協議会」を発足した。米国のクラウド業界では主流である外部監査人によるセキュリティ監査では、クラウド事業者のコスト負担が大きすぎるとして、「事業者による内部監査の有効性を外部監査人が評価する」という仕組みを国内に設けることで、セキュリティ監査の簡素化を図ることが狙いだ。
米国では、クラウド事業者が自社のセキュリティ対策の有効性を証明するために、外部監査人によるセキュリティ監査を受けることが一般的だ。代表的なものとしては「SOC(Service Organization Control) 2」や「SOC 3」、「SSAE16」などがあり、米アマゾン・ウェブ・サービスや米ラックスペース・ホスティングなどがこれらの監査を受けている。日本国内では、野村総合研究所が2012年11月に開業した「東京第一データセンター」に関して、外部監査人のセキュリティ監査を受け、SOC 2の報告書を作成したと発表している。
もっとも、外部監査人によるセキュリティ監査を受けるためには、数千万円のコストがかかるとされる。そこでJASA-クラウドセキュリティ推進協議会が、より簡素化したセキュリティ監査の仕組みを作る。まず、クラウド事業者が行うべき管理基準などを定めた「クラウド情報セキュリティ管理基準」や、この基準を満たしていることを事業者が利用者に宣言する「クラウド情報セキュリティ基本言明要件」などを定める。
2014年からは、JASA-クラウドセキュリティ推進協議会による「クラウドセキュリティ監査制度」を開始し、JASAの認定資格を保有する監査人による内部監査を実施したクラウドサービスに対して「CSマーク」を付与する。セキュリティ管理基準を事業者が満たしているかどうかは、事業者が内部監査を行い、その内容を言明書として明示する。この言明書の有効性を外部監査人が監査した場合に「言明書(外部監査済み)」と記したCSマークを付与する。外部監査を受けていない場合は、「言明書(内部監査済み)」と記したCSマークを付与する。
JASA-クラウドセキュリティ推進協議会への参加を予定している企業は、以下の25社。あらた監査法人、伊藤忠テクノソリューションズ、インターネットイニシアティブ、エス・シー・ラボ、NRIセキュアテクノロジーズ、NTT、NTTコミュニケーションズ、NTTコムウェア、NTTソフトウェア、NTTデータ、NTTPCコミュニケーションズ、NTT西日本、NTT東日本、KDDI、新日本有限責任監査法人、セールスフォース・ドットコム、ディアイティ、電通国際情報サービス、NEC、ニフティ、日本ユニシス、日立製作所、ビットアイル、富士通、三菱電機情報ネットワーク。
