KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】誰もが意のままに安全かつ安心してクラウドを利用したい ~クラウド監査知識を問うCCAK~

フェロー 関原 弘樹     顔写真2_1187x1313

先月末のことですが、個人情報保護委員会がサービスで取り扱われた個人情報を適切に管理していたかの確認のためLINE株式会社とその親会社であるZホールディングス株式会社(旧ヤフー株式会社 ~2019年)に立ち入り検査を実施しました。(本コラムは4/1の執筆となっております)

発端はみなさまもご存じのように先月に入りLINE社が提供するモバイルメッセージサービスで収集された国内の個人の情報が規約※や同社からの事前の説明と異なる形で海外のサーバに保管され、また海外の業務委託先よりアクセスされていたことが明るみになったことです。

※利用規約には海外を含めたデータの保管やアクセス権限の付与について明記があったとの意見もありますが、その内容について具体的な記載はありませんでした。

現状としては利用者に明確に被害が出ているわけではありませんが、プライバシーについての権利が国際的に問題になるこのご時勢ですのでこの報道によりLINE社のサービスを利用停止にする組織も少なくなく、今後はデータガバナンスへの問題提起、サービス提供のあり方についての議論が進むものと思われます。

 

 

これまで個人のみならず行政機関や公共性の高いサービスを提供する企業を含め、様々な業種・規模の企業が信用し、便利に利用されていたLINE社のサービスですが、現状サービスコストの最適化と説明責任の狭間で苦境に陥っています。

当然ながら本件に限らず、クラウドサービスを利用する/しないの最終的な判断と責任は各個人や組織の責任者にありますが、利用の際にはその規約や記載内容の裏付けについて合理的に可能な範囲で調査したうえで判断し、あとになって「それは聞いていないよ」「知らなかった」ということになるのはできる限り回避したいものですね。

#なお弊社内での業務に関して申し上げますと、別会社であるワークスモバイルジャパン株式会社が提供する※外部サイト:LINE WORKSというサービスは利用しておりますが、LINE社のサービスは利用しておりません。

 

さて、ここから本題です。
今年の最初の私のコラムでは、2021年3月に発表されたISACAとCSAによるクラウド監査の知識証明認定CCAK(Certificate of Cloud Auditing Knowledge)についてその内容を確認していきたいと思います。

※外部サイト:Cloud Security Alliance and ISACA Announce Availability of Industry's First Cloud Auditing Credential, the Certificate of Cloud Auditing Knowledge (CCAK)

 

ISACAとは

まずは提供元の一つISACAについて簡単におさらいです

U.S.のイリノイ州に本部を置く情報システム、情報セキュリティ、ITガバナンス、リスク管理、情報システム監査、情報セキュリティ監査等、情報通信技術専門家により構成される民間の団体で、当初はInformation Systems Audit and Control Associationの略でしたが、現在は単にISACAそのものが名称となっています。

 

 

※外部サイト:ISACA

WikipediaによるとISACAの歴史と現状は以下の通りです

[歴史]
1967年、コンピュータシステムの監査や統制をしている個人のグループとして設立。その後、ITガバナンスなどの企業内での重要性が増すにつれ、その分野についての中心となる情報源の必要性が出てきた。1969年、そのグループに EDP Auditors Association も組み入れ、組織としての形が整ってきた。1976年、ITガバナンスとIT統制の領域における知識と価値を拡充するための広範囲の研究を行う教育財団を設立した。

[現状]
現在、80以上の国で12.5万人以上の会員を有する。会員の職業は、経営層(ガバナンス)、コンサルタント、セキュリティ監査人、最高情報責任者、システム監査人、内部監査人、リスク管理、サイバーセキュリティ関連など多岐にわたる。世界に210を超える支部があり、ネットワークを形成している。各支部では、教育、リソース共有などの活動を行っている。
※外部サイト:ISACA(出典: フリー百科事典『ウィキペディア(Wikipedia)』)

 

つまりISACAはグローバルによくある形態のIT専門家によるIT専門家のためのギルドということができるでしょう。

 

ISACAが提供する認定

以下4つの認定がグローバルで有名です。(他にいくつか存在しますが今回は割愛します)
各認定はそれぞれ認定に応じた複数の試験ドメインが設定されており、認定にはISACAの提供する試験への合格と合わせ、そのドメインに関する業務経験を持っていることが要求されます。

CISA(公認情報システム監査人)

⇒情報システムの監査やそのコントロールに精通していることを示す。IT監査で最もメジャーな認定、グローバルでIT監査をするなら必須といわれる

CRISC(公認情報システムリスク管理者)

⇒2010年より開始された比較的新しい認定。セキュリティのみならず広い意味でのエンタープライズITリスクマネジメントやそのコントロールに対応する。リスクに対するバランス感覚が問われる

CISM(公認情報セキュリティマネージャー)

⇒社内情報システム部門の責任者から担当役員レベルの社内ITのプロフェッショナル、またはそれらのコンサルタントが持つべき認定。ISACAの認定の中ではやや他の団体の認定(CISSP等)と被る部分があるとの見方もある

CGEIT(公認ITガバナンス専門家)

⇒企業のITガバナンスを主なミッションとする専門家のための認定。マネージャレベル、担当役員をはじめとする経営幹部、さらにはコンサルタントもその対象となる

 

 

CCAK(Certificate of Cloud Auditing Knowledge)について

ようやく今回の本題であるCCAKです。
前記ISACAとクラウドセキュリティに関するガイドラインや各種ドキュメント、またCCSK(Certificate of Cloud Security Knowledge)というクラウドセキュリティ知識の試験を提供しているCSA(Cloud Security Alliance)が提供する「クラウド」「監査」をキーワードとした知識ベースの認定です

※CSAとCCSKについては私が以前執筆した以下のコラムでCSAの項をご参照いただければ幸いです。
【エバンジェリスト・ボイス】令和の時代に求められるITスキルとIT資格 ~セキュリティとクラウド~

 

Certificate of Cloud Auditing Knowledge -CCAK
※外部サイト:ISACA Certificate of Cloud Auditing Knowledge
※外部サイト:Certificate of Cloud Auditing Knowledge Education

 

 

以下は各サイトから一部意訳しての引用です

★CCAKとは?

・クラウド監査知識の証明書である
・専門家がクラウドコンピューティングシステムの監査の基本原則に関する専門知識を証明できる最初の認定
・CCAK認定とそのトレーニングプログラムは、クラウドIT監査の技術教育の市場におけるギャップを埋める

⇒現状ではクラウドサービスの安全性に関する監査の知識を持った専門家が不足している、との認識から立ち上がったと理解できます

★ISACA及びCSAの既存資格との関連性

・CCAKはCSAのクラウドの専門知識とISACAの監査の専門知識をミックスし、現状ではクラウド監査教育のための最高のソリューション
・CCAKは、CSAの クラウドセキュリティ知識証明書(CCSK)で カバーされている知識体系に基づいて構築され、CISA、CISM、CRISC、CGEITなどのISACAのANSI認定を補完し、CSAとISACAの認定保有者にメリットがある

⇒上記認定保有者にもプラスアルファの専門性のアドオンとしてトライを勧めるイメージですね

★CCAKを取得するには

現在入手できる情報からすると
・認定のための試験を受ける
・CCAKは証明書プログラムであり、毎年の更新やCPEは必要ない
となっています。

試験については以下の情報があります。
・76問の多肢選択問題を含むオンラインの監督付き試験
・試験は2時間で合格点は70%
・(ISACAの)非会員価格$495の受験料を支払い1年以内に受験
・事前にCCSKを取得することを強く推奨

また、試験ドメインといっていいのかわかりませんがCCAKは以下の5つのカリキュラムで構成されるようです。(ここは後に出てくるBrighttalkのWebinarからの引用で不正確な可能性があります)

①クラウドガバナンス(Cloud Governance)
②クラウドコンプライアンス(Cloud Compliance)
③クラウド監査(Cloud Auditing)
④クラウド保証(Cloud Assurance)
⑤CSA Tools※: CCM, CAIQ and STAR Program

※CSAが提供するクラウドセキュリティ評価のためのツール群で詳細は以下を参照ください
※外部サイト:STAR 日本語FAQ
※外部サイト:Security, Trust and Assurance Registry (STAR)の概要

 

学習方法は以下の2通りが提示されています。

①公式CCAK学習ガイドによる自習
ISACAの非会員価格で$70ほどの英語版ガイドがあるようです
※外部サイト:Certificate of Cloud Auditing Knowledge Study Guide

②コース受講
現在はありませんが今後オンラインや対面のトレーニングコースも用意されるとのことです
別のWebinarの情報では2~3日間程度のボリュームのようです
※外部サイト:CCAK Exam Prep to Suit Your Learning Style

 

このオンライン試験のみの知識認定というのはCSAが提供するCSSKと同様なので試験のレベル感は同等か?それともやや上なのか?そのあたりも気になりますね。

あくまでも個人的な予想ですが、CCAKに興味を持つくらいクラウド関連業務を担うCISA, CISM, CISSPホルダーならテキストを一通り確認し、自分の知識の穴となっている部分をチェックし、アップデートする程度で案外パスできるのかもしれません。

またそういうキャリアパスでない、例えばクラウドのソリューションアーキテクトからのチャレンジであれば、これまでとはまた異なったSecurity, Auditの幅広い知識のアップデートとなりチャレンジの楽しさは増すでしょう。

 

★CCAKとのシナジーが大きい認定保有者の例

・CSA’s Certificate of Cloud Security Knowledge (CCSK)
・ISACA’s CISA, CISM, CRISC, CGEIT, CDPSE and CSX-P
・FedRAMP 3PAO Assessor
・PCI-DSS Qualified Security Assessor
・ISO 27001 Lead Auditor Credentials

 

※外部サイト:ISACA Certificate of Cloud Auditing Knowledge

 

A Perfect Addition

 

※外部サイト:ISACA Certificate of Cloud Auditing Knowledge

⇒クラウドファースト時代なので当たり前ですが、IT監査の専門家であるCISAを筆頭に多くの専門家に恩恵があるというアピールがされています。
その中にはU.S.の政府機関を対象としたクラウドセキュリティ認証の第三者機関審査員やクレジットカード情報を処理するシステムのセキュリティを評価するPCI DSS審査員、またISMS審査員等も含まれています。

おわりに

今回はここまでですが以下の(やや古い2020年11月)Webinarで情報を補完できます。
※外部サイト:BrightTALK
※視聴にはBrighttalkへの登録が必要です

 

このCCAK、現状そのレベル感や実務での実効性等不明点も多いですが、この認定がドライバーとなることにより今後セキュリティ/プライバシー保護/データガバナンスをおろそかにするクラウドサービスが改善または淘汰され、誰もが意のままに安全かつ安心してクラウドを利用できるようになってほしいですね。

 

 

ではまた、次回のエントリーでお会いしましょう。

 

Hiroki Sekihara, CRISC, CISSP, CCSP, CEH, PMP, CCIE #14607 Emeritus,
AWS Certified Solutions Architect – Professional,



当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
コラムの感想やリクエスト、セキュリティに関するお悩みも受付中!

問い合わせボタン_230x43

関原 弘樹

株式会社インフォメーション・ディベロプメント フェロー / CISSP

この執筆者の記事一覧

関連するナレッジ・コラム

【エバンジェリスト・ボイス】AI対決~音の違いを聞き分けられるか~

【エバンジェリスト・ボイス】Threat Hunting ~リスクに強い組織を目指そう!~

【エバンジェリスト・ボイス】初動が最重要!事業継続マネジメント(BCM)と事業継続計画(BCP)