取引先や発注元から「ISMS認証を取得してほしい」と求められる場面が増えています。2025年10月31日をもってISO/IEC 27001:2022(JIS Q 27001:2023)への移行期限が終了し、現在稼働中のISMS認証はすべて2022年版規格に準拠した状態です。この改訂で追加された管理策の一つが5.23「クラウドサービスの利用における情報セキュリティ」です。クラウドストレージを業務で使っている組織なら、この管理策への対応は必須です。
ISMS・ISO 27001とは何か
ISMS(情報セキュリティマネジメントシステム)は、組織が保有する情報資産を守るための仕組みです。ISO/IEC 27001はそのISMSが満たすべき要求事項を定めた国際規格であり、第三者審査機関による認証を受けることで「情報セキュリティ管理体制が整っている」と証明できます。
日本では製造業・IT業・医療・金融など幅広い業種でISMS認証が普及しており、政府調達や大手企業との取引条件に「ISMS認証取得済みであること」が明記されるケースが増えています。認証が実質的な商談要件になっている業界では、取得しないと受注機会を失います。
ISO 27001:2022改訂のポイント
ISO/IEC 27001:2022(国内版:JIS Q 27001:2023)は2022年10月25日に発行されました。2013年版からの変更は、附属書Aの管理策体系の大幅な再編が中心です。
管理策の体系変更
| 項目 | 2013年版 | 2022年版 |
|---|---|---|
| 分類数 | 14分類 | 4分類(組織的・人的・物理的・技術的) |
| 管理策数 | 114 | 93 |
| 新規追加 | — | 11項目 |
新規追加11項目のうち、クラウド利用に直接関わるのが管理策5.23「クラウドサービスの利用における情報セキュリティ」です。2013年版にはクラウド固有の管理策がなく、5.23の新設でその空白が埋まりました。
管理策5.23の要求内容
管理策5.23の要求を一文で言うなら、「クラウドサービスの調達・利用・管理・終了のライフサイクル全体を、組織の情報セキュリティ要求事項に基づいて管理すること」です。
1. クラウドサービス利用方針の策定
どのクラウドサービスをどの目的で利用してよいか、従業員が判断できるよう方針を文書化します。クラウドストレージの場合、「業務データの保存には承認済みサービスのみ使用する」「個人クラウドストレージへの業務データ保存は禁止」といったルールが該当します。
2. リスクアセスメントの実施
クラウドストレージを利用する際のリスクを特定します。データ保存場所(国・地域)、暗号化の有無、アクセス権限の設定漏れ、退職者アカウントの残存などが代表的なリスク項目です。
3. 責任範囲の明確化
クラウドサービスプロバイダと自組織の間で、情報セキュリティ上の責任をどう分担するかを定義します。「プロバイダ側がインフラの物理セキュリティを担い、組織側がアクセス権限管理とデータ分類を担う」という形で文書化します。
4. 契約・利用条件の確認
利用するクラウドサービスの契約書や利用規約に、セキュリティ要件(暗号化、データ保存地域、インシデント通知義務、監査対応など)が含まれているかを確認します。
5. クラウドサービス選定基準の策定
新たなクラウドサービスを導入する際に評価する基準を決めておきます。セキュリティ認証の有無(ISO 27001、SOC 2等)、データ保存地域、可用性SLA、解約時のデータ引き渡し方法などが評価項目になります。
ISMS準拠に求められるクラウドストレージの要件
管理策5.23以外にも、クラウドストレージの利用に関連するISO 27001の管理策があります。
| 管理策番号 | 管理策名 | クラウドストレージとの関係 |
|---|---|---|
| 5.9 | 情報及びその他の関連資産の目録 | 保存しているデータを資産台帳に記載する |
| 5.12 | 情報の分類 | 機密・社外秘・一般のラベルを付けて管理する |
| 5.14 | 情報の転送 | 社外への共有リンク発行・ダウンロード制限の運用 |
| 8.3 | 情報へのアクセス制限 | フォルダ単位・ユーザー単位の権限設定 |
| 8.5 | セキュリティを保った認証 | 多要素認証(MFA)の実施 |
| 8.15 | ログ取得 | アクセス・操作履歴の保存と定期レビュー |
| 8.24 | 暗号の利用 | 通信・保存データの暗号化 |
HStorageがISMS管理策に対応する機能
HStorageは、ISO 27001の管理策が求めるセキュリティ要件を標準機能として備えています。
暗号化(管理策8.24)
通信はTLS 1.3で暗号化されます。保存データはAES-256で暗号化して格納されます。ユーザー管理型暗号化(UME)オプションを使えば、暗号鍵をユーザー側で保持することも可能で、HStorage運営者を含む第三者によるデータ閲覧を技術的に排除できます。
アクセス制御(管理策8.3)
フォルダ・ユーザー・グループの単位でアクセス権を設定できます。「閲覧のみ」「アップロード可」「削除可」といった粒度で権限を分けられるため、「参照するだけで編集・削除権限は不要」なユーザーに最小権限を割り当てられます。退職者のアカウントは管理画面から即時無効化できます。
多要素認証(管理策8.5)
管理者アカウントに多要素認証(MFA)を設定できます。パスワードが漏洩した場合でも、第二認証要素がなければログインできないため、不正アクセスリスクを下げます。
アクセスログ(管理策8.15)
誰がいつどのファイルを操作したか(閲覧・アップロード・ダウンロード・削除)がログに記録されます。ISMSの内部監査では「アクセスログを定期的にレビューしているか」が確認項目になります。HStorageのログを定期的に出力・確認する運用手順を文書化しておくと、審査員への説明資料になります。
共有リンクの制御(管理策5.14)
社外へのファイル共有は、パスワード設定・有効期限・ダウンロード回数制限を付けた共有リンクで行えます。「期限切れのリンクは自動無効化される」という仕組みが、情報転送の管理策への対応として機能します。
データ保存地域(リスクアセスメント項目)
HStorageのデータはEU圏のデータセンターに保存されます。GDPR準拠の環境です。クラウドストレージのリスクアセスメントで「データ保存地域」を記入する際は「EUデータセンター、GDPRに準拠」と記載できます。
ISMSとクラウドストレージ運用の実践手順
ISMS認証の新規取得または維持に向けて、クラウドストレージの管理策を整備する手順を示します。
Step 1:クラウドサービス利用方針を文書化する
使用しているクラウドストレージを情報資産台帳に記載します。保存データの種類(顧客情報・社内文書・契約書など)と分類(機密・社外秘・一般)を書き出します。「このサービスに何を保存してよいか」のルールを社内規程に明記します。
Step 2:リスクアセスメントを実施する
クラウドストレージ利用に伴うリスクを洗い出します。典型的なリスク項目は以下です。
- アクセス権限の設定ミスによる情報漏洩
- 退職者アカウントの残存による不正アクセス
- パスワード再利用・脆弱なパスワードによる乗っ取り
- 社外共有リンクの期限切れ管理不備
- 障害時のデータ可用性の低下
リスクに対して、HStorageの権限設定・MFA・ログ監視・共有リンク有効期限などの機能がどう対策になるかを対応表に整理します。
Step 3:運用手順を決めて文書化する
以下の運用手順を社内文書として定めます。
- 新規ユーザー追加時の権限設定フロー
- 退職者アカウント無効化の実施タイミング(退職日当日、または前日)
- アクセスログのレビュー頻度(月次または四半期)
- 共有リンク発行時の承認フロー(必要な場合)
- パスワード設定基準(文字数・複雑度)
Step 4:内部監査で確認する項目を設定する
ISMSの内部監査では、文書化した運用が実際に実施されているかを確認します。クラウドストレージに関して確認すべき項目の例です。
- 権限設定が方針に沿っているか(不要なフルアクセス権限がないか)
- 退職者アカウントが残存していないか
- アクセスログのレビュー記録が残っているか
- 有効期限なしの共有リンクが存在しないか
ISMS取得を検討している企業へ
ISMS認証の費用は審査機関への支払いだけではありません。規程の整備・内部監査の実施・教育訓練の記録と、運用コストが継続的に積み上がります。中小企業で「規程と台帳が増えて運用が回らない」という声が出るのは、この維持コストを過小評価しているからです。
クラウドストレージの選択で、この運用負荷を下げられます。アクセスログの自動取得、権限管理の一元化、MFAによる認証強化——これらが標準で備わっているサービスなら、個別ツールや手作業で補う必要がありません。
ISMS対応を始める前に、現在使用しているクラウドストレージが管理策の要件を満たしているかを確認してください。ツールが要件を満たしていない場合、早期の見直しが審査対応コストの削減につながります。
HStorageは14日間の無料トライアルを提供しています。アクセス制御・ログ・MFA・暗号化の各機能を実際の業務環境で試し、ISMS対応に必要な管理策をどう実装できるかを確認してください。
