カーリルでは、情報セキュリティ基本方針を策定し、提供するウェブサービスや社内の情報セキュリティの継続的な強化に取り組んでいます。2023年にISMS認証(ISO/IEC27001)を取得しましたが、この取り組みをさらに推進するため、クラウドセキュリティマネジメントの国際規格である「ISO/IEC 27017:2015」に基づくISMSクラウドセキュリティ認証を新たに取得しました。
なぜクラウドセキュリティ認証なのか
カーリルは全国の図書館と、そのユーザーをつなぐサービスです。「あの本、どこの図書館にある?」という検索の裏側では、全国の図書館システムと日々データをやりとりしています。ユーザーにとっても図書館にとっても「使えて当然」のサービスであり続けるためには、目に見えないセキュリティの積み重ねが欠かせません。
カーリルは、図書館蔵書検索サイトの運営や図書館業務向けに提供する、Unitrad APIの提供を通じて、クラウドサービスプロバイダとしての役割を担っています。同時に、Amazon Web Services・Google Cloud・さくらインターネットなどの複数のクラウドサービスを利用するカスタマーでもあります。ISO/IEC 27017認証の取得は、この 「提供する側」と「利用する側」の両面における責任範囲を明確にし、クラウド環境特有のセキュリティリスクに体系的に対応するためのものです。
クラウドセキュリティ基本方針の策定
認証取得にあたり、13項目からなるクラウドセキュリティ基本方針を策定しました。クラウドサービスの設計・実装、責任範囲の明確化、論理的隔離、アクセス制御、インシデント対応、プライバシー保護、データポータビリティなど、クラウド環境に特化したセキュリティ管理策を定めています。
セキュリティホワイトペーパーの公開
セキュリティホワイトペーパーを各サービスごとに公開しています。これは透明性のためだけでなく、図書館や自治体の担当者がカーリルの各種技術を導入するための検討を進めやすくします。
特に「カーリル 学校図書館支援プログラム」では、文部科学省の「教育情報セキュリティポリシーに関するガイドライン」への準拠確認が容易になり、大規模な自治体でも円滑な導入が可能となります。「このサービス、セキュリティ的に大丈夫ですか?」という問いに、きちんと答えられる状態を整えました。
ISO/IEC 27001に加えてISO/IEC27017認証を取得したことで、クラウドサービスとして連携する図書館に対しても、より高い水準のセキュリティを提供できる体制が整いました。
カーリルはこれからも、誰にも気づかれないくらい静かで高速に、そして確実に動き続けるインフラであるために、セキュリティへの取り組みを続けていきます。