株式会社TIMEWELLの濱本 隆太です。
「ISO/IEC 27001を取るほどの予算と時間はない。でも、自社のクラウドサービスのセキュリティ姿勢を取引先に示したい」——SaaSスタートアップから、こうした相談を受けることがあります。私の回答は、まずCSA STAR Level 1の自己評価から始めましょう、です。
CSA STAR(Security, Trust, Assurance and Risk)は、Cloud Security Alliance(CSA)が運営する世界最大のクラウドセキュリティ公開リポジトリ(参照:CSA STAR Registry)。Level 1の自己評価は原則無料で、CAIQ v4という200問超の質問票に答えて公表するだけで、CSA STAR Registryに掲載されます。Microsoft、AWS、Google Cloud、Box、Atlassian等の大手も登録している、業界標準の透明性公表プログラムです。
CSA STARの全体像——4階層のアシュランスモデル
CSA STARには4つのレベルがあります。
| Level | 名称 | 評価方法 | 費用目安 | 期間 |
|---|---|---|---|---|
| Level 1 | Self-Assessment | 自己評価 | 無料(CSA会員費は別) | 1〜3カ月 |
| Level 2 | Third-Party Audit | 第三者認証(CSA STAR Certification or Attestation) | 300〜800万円 | 6〜12カ月 |
| Level 3 | Continuous Auditing | 継続的監査 | 未定(現在パイロット) | - |
| Level 4 | Continuous Auditing Plus | 高度な継続監査 | 未定(現在パイロット) | - |
Level 1とLevel 2が実用レベルで運用されており、Level 3以降は将来的な拡張です(参照:CSA STAR Levels)。
「自己評価で公表するだけで意味があるのか」と思われがちですが、取引先から送られてくる長大なセキュリティチェックシートへの回答工数を、CAIQ提出で大幅削減できるという実利があります。私が伴走したSaaS企業では、月3〜5件のセキュリティチェックシート対応を、「CSA STAR Registryの自社ページをご参照ください」で済ませる運用にして、営業の生産性が劇的に上がりました。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
CAIQ v4——200問の質問票を分解する
CAIQ(Consensus Assessments Initiative Questionnaire)の最新版v4は、CSAの管理策フレームワークであるCCM(Cloud Controls Matrix)v4に対応した200問超の質問票です(参照:STAR Level 1: Security Questionnaire (CAIQ v4))。
CCM v4の17ドメイン構造はこうなっています:
| ドメイン | 略号 | 質問例 |
|---|---|---|
| 監査保証コンプライアンス | A&A | 第三者監査の頻度、認証取得状況 |
| アプリ・インターフェースセキュリティ | AIS | セキュアコーディング、SAST/DAST |
| ビジネス継続性運用回復力 | BCR | RTO/RPO、災害復旧訓練 |
| 変更管理構成管理 | CCC | 本番環境変更承認プロセス |
| 暗号化鍵管理 | CEK | 保存時/転送時暗号化、鍵ローテーション |
| データセンターセキュリティ | DCS | 物理的アクセス制御 |
| データセキュリティ・プライバシー | DSP | データ分類、データ保持 |
| ガバナンスリスクコンプライアンス | GRC | リスク管理体制、コンプライアンス維持 |
| ヒューマンリソースセキュリティ | HRS | 雇用前審査、教育 |
| アイデンティティアクセス管理 | IAM | 多要素認証、特権アクセス管理 |
| 相互運用ポータビリティ | IPY | データエクスポート、ベンダーロックイン回避 |
| インフラ仮想化セキュリティ | IVS | ハイパーバイザセキュリティ、ネットワーク分離 |
| ログ・モニタリング | LOG | セキュリティイベント監視、SIEM |
| セキュリティインシデント管理 | SEF | インシデント対応プロセス、フォレンジック |
| サプライチェーン管理・透明性 | STA | サブプロセッサ管理、第三者リスク |
| 脅威脆弱性管理 | TVM | 脆弱性スキャン、パッチ管理 |
| ユニバーサルエンドポイント管理 | UEM | エンドポイントセキュリティ、MDM |
各設問に対して「Yes/No/NA/Partial」と、補足説明(free-form text)で回答します。たとえばA&A-01「外部のコンプライアンス監査を受けているか」に対しては「Yes. ISO/IEC 27001:2022認証取得済み、認証機関はXXX、有効期限YYYY-MM-DD」のように具体的に書きます。
日本企業の実装で詰まる3つの論点
CAIQ提出は単純に見えて、現場では意外な落とし穴があります。
論点1:「Partial」の使い方 完全に実装していなくても「Yes」と答えたい誘惑にかられますが、虚偽申告が判明するとCSAから登録抹消されるリスクがあります。私の経験では、「Yes」ではなく「Partial」で、補足説明にロードマップを書く方が信頼性は高い。「2026年Q3までに実装完了予定」のような具体的記述は、むしろ評価されます。
論点2:CCM v4と社内文書のマッピング ISMSやSOC 2を運用している企業は、既存文書をCCM v4にマッピングし直す作業が発生します。これが意外と重い。CSAが提供している「CCM Mapping Working Group」のドキュメントが、ISO/IEC 27001、SOC 2、PCI DSS等とのマッピングを公開しているので、まずこれを参照することを強く推奨します(参照:CSA STAR Program Overview)。
論点3:AI機能の扱い これが2025年以降の新しい論点です。CCM v4にはAI/MLに特化したドメインがまだありません。AI機能を持つSaaSがCAIQに回答する際、AIS(アプリ・インターフェースセキュリティ)やDSP(データセキュリティ・プライバシー)の補足説明に、AI関連の管理策を書き加える運用になります。CSAは現在、AI Controls Matrix(AICM)という新フレームワークの整備を進めており、2026〜2027年にCAIQへの統合が見込まれます。
私はAI機能を持つSaaSに対しては、現時点でもCAIQの補足説明で「AI関連管理策」を明示的に書くことを勧めています。OpenAI/Anthropic等の第三者AI利用、データ取り扱い、ヒューマンオーバーサイトについて、自主的に記述する事業者は、市場での評価が一段違います。
Level 1からLevel 2への段階的アップグレード戦略
「将来的にCSA STAR Level 2やISO/IEC 27001を取りたい。でも今は予算がない」という事業者に、私がよく提案する3段階のロードマップです。
Year 1:CSA STAR Level 1自己評価で公表 無料で実施可能。CAIQ v4を1〜3カ月で記入し、CSA STAR Registryに登録。営業活動でのセキュリティチェックシート対応工数を削減しつつ、社内のセキュリティ管理策の現状把握ができます。
Year 2:ISO/IEC 27001認証取得 CSA STAR Level 1で実施したGAP分析を、ISO/IEC 27001のSoA構築に流用。9〜12カ月で認証取得。費用は中規模企業で380〜600万円。詳細はISO/IEC 27001認証取得完全ガイドを参照。
Year 3:CSA STAR Level 2取得(CSA STAR Certification) ISO/IEC 27001を前提に、CSA認定の監査機関による第三者監査を受験。費用300〜800万円。Level 2取得により、グローバル取引や政府関連調達での競争力が大幅に上がります。
このロードマップで重要なのは、Year 1のCSA STAR Level 1で蓄積した文書資産が、Year 2のISO/IEC 27001、Year 3のCSA STAR Level 2でフル活用される点です。最初から無料の自己評価から始めることで、後の認証取得コストを下げられます。
TIMEWELLのWARP SECURITYで「CSA STARベンチマーク研究」を体系化
CSA STAR Level 1の自己評価を始めたい事業者から、私たちTIMEWELLには「同業他社がどんな回答をしているか知りたい」「自社の弱点をベンチマーク的に把握したい」という相談がよく来ます。WARP SECURITYのCSA STAR対応コースは、ベンチマーク研究を核に置いた構成です。
- 大手登録企業のCAIQ分析——AWS、Microsoft、Google、Box等のSTAR Registry掲載企業のCAIQをドメイン別に比較分析し、業界水準を可視化
- 自社CAIQドラフト作成ワークショップ——CCM v4の17ドメイン×200問について、参加者が2日間でドラフト回答を作成
- AI関連管理策の補足説明テンプレート——CAIQに明示的なAI項目はまだないが、自主的にどう記述すべきかの推奨テンプレート提供
- Level 2/ISO 27001/SOC 2への接続——CSA STAR Level 1の成果物を、次の認証取得にどう連携させるかの設計図
私が他のCSA STAR研修と差別化したいのは、条文解説に時間を使わず、ベンチマーク比較と実装パターンの議論に時間を使うことです。条文は読めば分かる。難しいのは「他社はどう書いているか」「自社はどう差別化するか」の判断です。
WARP SECURITYの詳細はWARP SECURITYからご確認いただけます。
まとめ——CSA STAR Level 1は「セキュリティ姿勢の名刺」
- CSA STAR Level 1は無料の自己評価プログラム。CAIQ v4(200問超)に回答してCSA STAR Registryで公表する透明性公表の枠組み
- AWS、Microsoft、Google、Box等の大手も登録するベンチマーク文書として機能。セキュリティチェックシート対応の工数削減に直接効く
- Level 2との違いは第三者認証の有無。Level 1は1〜3カ月・無料、Level 2は6〜12カ月・300〜800万円
- 「Partial」を恐れず、補足説明にロードマップを書くのが信頼性の高い書き方
- AI機能を持つSaaSは、CAIQの補足説明にAI関連管理策を自主的に明示することを推奨
- 3段階ロードマップ(Year 1: STAR Level 1 → Year 2: ISO/IEC 27001 → Year 3: STAR Level 2)が王道
私の見立てとして、ISMSもISMAPも取れないスタートアップ段階のSaaS事業者にとって、**CSA STAR Level 1は「最も費用対効果の高いセキュリティ姿勢の表明手段」**です。やらない理由がない。
関連記事として、ISMS入門、ISO/IEC 27001 認証取得 完全ガイド、ISO/IEC 42001 AIMS入門、ISMAP入門もぜひ。