HDE Advent Calendar 2016

“one day - one person - one blog post”, from December 1st - 25th

HDE Advent Calendar Day 15: Protecting personally identifiable information on cloud service: ISO/IEC 27018

Hi, I'm Tassy.

I'd like to talk about ISO/IEC 27018 that is international certificate of security for cloud service.
It's very honorable to us, so I'll talk the detail of the certificate.

In particular, ISO/IEC 27018 is based on ISO/IEC 27002(ISMS). ISO/IEC 27018 is a certificate to protect Personally Identifiable Information (PII) for the public cloud computing environment.

I'm really glad to get certified and feel the value of the certificate because we're cloud security vendor.

However, it's not a goal to get ISO 2718 certification. I think that our goal is to provide customers more secure service and so that customers can use our HDE One service with sense of secure.

 

というわけで、このたびクラウドセキュリティサービスである HDE One が ISO/IEC 27018 を取得しました。

プロジェクト開始から認証取得まで6ヶ月しかなく、まさにあっという間でした。

f:id:tassy1983:20161215145158p:plain

It's Award ceremony of ISO/IEC 27018 / 認定証の授賞式!

 

そもそもISO 27018ってなに?といった、所も踏まえて、 ISO 27018を取得するまでの実際をお伝えしていきたいと思います。

ちなみに、現在国内では、BSIジャパン様が唯一の認証機関になっており、弊社で4社目の認証だそうです。

国内クラウドセキュリティベンダーとしては、おそらく初めての認証になるのではないでしょうか。
そうなるとちょっと誇らしいですね。

■What's the ISO 27018 ? / ISO 27018 ってなに?

ISO/IEC 27018 とは、クラウドサービスを提供しているベンダー向けの個人情報保護の認証です。

情報セキュリティとして有名なISMS (ISO/IEC 27002) をベースに、クラウドならではのセキュリティや 個人情報の取扱いなどが決められています。
情報セキュリティの基礎的な部分は、ISMSでカバーしていることが前提となっており、 ISO 27018では、より実践的な部分や現場における運用など、さらに一歩踏み込んだ所を求められています。

国内で個人情報の保護というと、プライバシーマークが有名になっていますが、 プライバシーマークはどちらかというと紙文書を前提とした仕組みづくりを求めているのに対して、 ISO 27018はクラウドサービスを前提にしており、比較するとアクセスコントロールなどが強く出ていると思います。

■What's a merritt of the cert? / 取得のメリットは何か?

やはりビジネス上の安心感だと思います。

クラウドセキュリティサービスとしてのHDE Oneをお客様に提供していますが、 その開発・運用体制が国際基準で確かなものであると第三者認証されるというのは、 弊社を選択されるお客様にとって、非常に安心感をご提供できていると思います。

■What's the hardest thing? / 何が大変だったか?

スケジュールの短さです!

これまで私自身、HDE Oneの立ち上げ時期からサポートからシステムのバックエンドまでを手がけて来たこともあり、 技術的な所は理解しているのですが、ISOを導入するといった事は初めての経験でした。

ISO 27018はISMSがベースになっているので、当然ながらISMSの部分についても全て把握しておく必要があります。
ちょうど2016年のISMS更新にあわせて、いくつか古くなっている社内規定を書き直すプロジェクトも走っており、 かなり混迷を極めました。

また、社内規程に詳しい前回のISMS更新担当は、ほとんど海外に出張していることもあり、 「◯◯について書かれた規程文書がどこにあるのか知りたい」と思っても聞ける人がいない状態も拍車をかけました。

幸いな事に、最大の障害になるであろうと思っていた社内調整については、思ったほどではありませんでした。

これはISMSを通してHDE社内に「セキュリティは大事」という文化が根付いており、現場がかなり協力的だったことに尽きます。

■How do next? / ISO 27018の取得を受けて

クラウドセキュリティーベンダーとして、価値のあるISO 27018を取得したことは非常に嬉しく思います。

ですが、ISO 2718 の認証を受けることがゴールではありません。
認証を通して、よりセキュアなサービスをお客様に提供すること、お客様に安心してサービスをご利用いただくことがゴールだと考えています。

それでは、HDE Oneを今後ともよろしくお願い致します。