先週、AmazonはAmazonウェブサービス、AWSに対するISO/IEC 27001の認証を取得した。この認証が重要なのは、ISO 27001が具体的な管理制御と必須要件が満たされていることを命じているからだ。クラウドの仕様が認証されたわけではないが、この認証を得たことは産業全体の統治やリスクやコンプライアンス上、重要な進歩でありコミットメントである。これでわかるのは、競争相手をよりもAmazonののパブリッククラウドが成熟しており、多くのCIOが感じている、エンタープライズ分野で普通にクラウドコンピューティングを使うことに対する抵抗を取り除くだろう。
ISO/IEC 27001の認証は3つの段階の監査を行う。
ステージ1 - 情報セキュリティマネジメントシステム(ISMS)のレビュー。ISMSは情報セキュリティとITリスクマネジメントについてのガバナンスの指針だ。
ステージ2 - 詳細な公式のコンプライアンス監査。これはISO/IEC 27001とは独立している監査役によって行われる。このステージをパスすることでコンプライアンスにISO/IEC 27001が与えられる。
ステージ3 - 追加のレビューや定期的に行われる監査で構成されるメンテナンスステージ。これはコンプライアンスにISO/IEC 27001を与えることを追認するために行う。典型的には、毎年行う。しかし、ISMSが変更になる場合は、1年に1回以上行われる。
AWSのサイトによると、さらにISO/IEC 27002の認証を得ようとしなかったのは、
私たちは行っているすべての制御を公開しません。しかし、もちろん、27002の文書と関連のあるガイダンスについてはすべて考慮しました。AWSのインフラ、データセンター、EC2、S3、VPCを含むサービスがこのガイダンスの規定に従うように考慮したのです。認証の作業の一部では、私たちの監査役は私たちがシステムやサービスが27002のすべてのガイダンスに沿うように取り組んでいることを認めました。
Amazonは認証を取得した初めてのベンダではない。Salesforce.comは何度かISO 27001の認証を受けている。また、MicrosoftもBusiness Productivity Online Suiteに対するISO 27000のファミリーの認証を取得しようと活動している。認証がビジネスにどのような価値をもたらすのかは明確ではないが、最低でも競合するプラットフォームのISMSを比較し判断するためのセキィリティ標準を提供するだろう。