メインコンテンツへスキップ
ブログへ戻る 業界の視点

Skyhigh Security CSA STARレベル2認証Skyhigh Security 、独立系クラウドセキュリティ保証の水準を引き上げる

スチュアート・ベイリス、サラン・ワルドカー著 -

2026年6月25日 6 読了時間:6分

クラウドセキュリティに対する規制当局の監視が強化され、企業の調達要件も厳しくなる中、自己申告によるセキュリティ保証と第三者機関による検証を経たセキュリティ保証との違いは、かつてないほど重要になっています。本日、Skyhigh Security 、安全なクラウドコンピューティングのベストプラクティスの策定に尽力する世界有数の組織であるクラウドセキュリティアライアンス(CSA)から、CSA STARレベル2の認証Skyhigh Security 発表できることを誇りに思います。

この節目は、当社の既存のCSA STARレベル1登録から大きな前進を意味し、自己評価モデルから、独立した監査と第三者による検証を経たクラウドセキュリティ対策の保証へと移行したことを示しています。お客様やパートナーの皆様にとっては、Skyhigh Securityセキュリティ体制に対する信頼性が、より高く、より厳格な基準で裏付けられることを意味します。

CSA STARレベル2とは何ですか?

クラウド・セキュリティ・アライアンス(CSA)の「セキュリティ、信頼、保証、およびレジストリ(STAR)」プログラムは、クラウドセキュリティ分野において業界で最も広く認知されている保証プログラムです。STARは2つの保証レベルで運用されており、それぞれがクラウドセキュリティの成熟度の異なる段階にある組織のニーズを満たすように設計されています:

  • CSA STAR レベル 1 — CSAクラウド・コントロール・マトリックス(CCM)およびコンセンサス・アセスメント・イニシアティブ・アンケート(CAIQ)に基づく自己評価であり、組織のセキュリティ対策の透明性を確保するものです
  • CSA STAR レベル 2 — 認定STAR監査人による第三者監査であり、SOC 2審査(STARアテステーションの発行を伴う)またはISO/IEC 27001監査(STAR認証の発行を伴う)を拡張したもので、セキュリティ管理措置について独立した検証に基づく保証を提供する

この違いは重要です。レベル1が組織自身の統制に関する自己評価を示すのに対し、レベル2は独立した監査による確認を提供します。これは、クラウド環境向けに特別に設計された、最も包括的で世界的に認められている統制フレームワークである「クラウド・コントロール・マトリックス(CCM)」に基づき、認定を受けた第三者評価機関によって検証されたものです。

CSAクラウド制御マトリックスの対象範囲

「クラウド・コントロール・マトリックス(CCM)」は、CSA STARレベル2評価の基盤となるものです。これは、クラウド環境特有のセキュリティ、リスク、コンプライアンス上の課題に対処するために特別に設計されたサイバーセキュリティ管理フレームワークです。CCMは、以下を含む17のセキュリティ領域を網羅しています:

  • アプリケーションおよびインターフェースのセキュリティ
  • 監査保証およびコンプライアンス
  • 事業継続管理と業務レジリエンス
  • 変更管理および構成管理
  • データセキュリティと情報ライフサイクル管理
  • 暗号化と鍵管理
  • ガバナンス、リスク、コンプライアンス
  • IDおよびアクセス管理
  • インフラストラクチャおよび仮想化のセキュリティ
  • サプライチェーン管理、透明性、および説明責任

Skyhigh Security 、CCMに基づくレベル2認証を取得したことで、これらの領域にわたる自社のセキュリティ対策が適切に設計されているだけでなく、実際に効果的に機能していることを、独立した監査人に対してSkyhigh Security 。

CSA STARレベル2の取得は、規制産業に属する当社の企業顧客が求める要件に直接応えるものです。単なるベンダーによる自社のセキュリティに関する主張ではなく、認定を受けた第三者監査機関による独立した検証結果が求められているのです。クラウドセキュリティが、世界中の金融サービス、医療、公共部門において調達の必須要件となる中、当社の顧客は、自社の取締役会、規制当局、監査人に対して自信を持って提示できる保証を必要としています。CSA STARレベル2は、まさにその保証を顧客に提供するものです。」
Skyhigh Securityプロダクト担当エグゼクティブ・バイス・プレジデント、ティヤガ・ヴァスデヴァン

レベル1からレベル2へ:お客様にとってどのような変化があるのか

Skyhigh SecurityCSA STARレベル1からレベル2へと進化したことは、お客様にご提供するセキュリティ保証の水準を引き上げるという、当社の確固たる取り組みを反映しています。この格上げがもたらす実際的な影響は、非常に大きなものです:

    • 独立した検証 — セキュリティ対策はもはや自己申告によるものではなく、認定を受けた第三者監査人によって審査・確認されています
    • 調達に対する信頼性の向上 — 企業および規制産業の調達チームは、Skyhigh Security評価する際、ベンダーの自己申告ではなく、監査済みの証拠を信頼することができます
    • 規制の整合性 — レベル2では、NIS2のサプライチェーンセキュリティ要件、金融サービス向けのDORA、およびEU全域におけるGDPRのベンダーデューデリジェンス義務への準拠をより強力に支援します
    • 評価にかかる負担の軽減 — 自社でベンダーのセキュリティ審査を実施する顧客は、CSA STARレベル2の監査結果を活用することで、作業の重複を削減できます

2026年にCSA STARレベル2が重要となる理由

クラウドセキュリティの情勢は急速に変化しています。ヨーロッパ、北米、アジア太平洋地域において、企業の調達部門や規制当局は、クラウドセキュリティの成熟度を示す「許容可能な証拠」の基準を引き上げています。自己評価は出発点としては有用ですが、規制の厳しい環境で事業を展開する組織や、機密データを大規模に扱う組織にとっては、ますます不十分になりつつあります。

CSA STAR レベル 2 認証は、この課題に直接対応するものです。この認証は、世界的に認められ、独立した監査を受けたベンチマークを提供し、企業、政府機関、および規制対象業界の組織に対し、Skyhigh Security 信頼できるクラウドセキュリティSkyhigh Security 導入する際に必要な保証を与えます。これにより、各組織は、自社のコンプライアンスおよびリスク管理上の義務を裏付ける文書化された証拠を得ることができます。

NIS2、DORA、GDPR、または業界固有の枠組みの対象となる組織にとって、CSA STARレベル2の認証を取得しているベンダーを利用することで、サードパーティのリスク評価が簡素化され、サプライチェーンのセキュリティに関する文書化が強化されます。

強固な基盤の上に築く

CSA STAR レベル 2 は、Skyhigh Security が保有する包括的かつ継続的に拡大しているコンプライアンス・ポートフォリオに新たに加わったものです。これは、当社の既存の CSA STAR レベル 1 登録を直接基盤としており、当社が世界的に維持している一連の認証およびフレームワークを補完するものです:

  • FedRAMP High 認定 — 米国政府(CASB、SWG、Advanced DLP)
  • 米国防総省(DoD)インパクトレベル2(IL2) — 米国防総省
  • ISO/IEC 27001 — 情報セキュリティマネジメントシステム
  • SOC 2 タイプ II — AICPA トラスト・サービス基準(SSE クラウド・プラットフォーム全体)
  • BSI C5 (2026) — ドイツ連邦情報セキュリティ局
  • IRAP認定(2026) — オーストラリア政府のクラウドセキュリティ
  • GDPR — 欧州連合(EU)のデータ保護規則
  • DORA — EUデジタルオペレーショナル・レジリエンス法
  • DPDPA — インドのデータ保護・デジタルプライバシー法
  • CSA STAR レベル 1 — クラウド・セキュリティ・アライアンス(CSA)の自己評価(前提条件)

当社の認証およびコンプライアンス状況の詳細については、Skyhigh Security Center(skyhighsecurity.com/about/certification.html)をご覧ください。

CSA STARについて

クラウド・セキュリティ・アライアンス(Cloud Security Alliance)の「セキュリティ、信頼、保証、およびレジストリ(STAR)」プログラムは、クラウドにおけるセキュリティ保証の業界標準です。STARは、透明性、厳格な監査、および標準の調和という主要な原則を網羅しており、組織が自社のクラウドセキュリティ態勢を評価し、外部に伝えるための、世界的に認められたフレームワークを提供しています。一般に公開されているSTARレジストリには、クラウドコンピューティングプロバイダーが採用しているセキュリティおよびプライバシー対策が記載されており、顧客は安心してベンダーを評価することができます。

CSA STAR プログラムの詳細については、cloudsecurityalliance.org/star をご覧ください。

CSAクラウド制御マトリックスについて

クラウド・コントロール・マトリックス(CCM)は、クラウド・セキュリティ・アライアンス(CSA)によって開発・維持管理されている、クラウドコンピューティング向けのサイバーセキュリティ管理フレームワークです。ISO 27001、NIST、PCI DSS、HIPAAなどの主要なセキュリティ基準に準拠したCCMは、クラウド業界に即したセキュリティの概念や原則について詳細な理解を提供します。CCMは、クラウドセキュリティ管理フレームワークのデファクトスタンダードとして広く認知されています。

Skyhigh Security 、 2025年版ガートナー® マジック・クアドラント™「Security Service Edge SSE)」において、ベンダーの「実行能力」と「ビジョンの完全性」に基づいて評価され、選出されました。 「実行能力」と「ビジョンの完全性」に基づいて業界のリーダーを評価するこのレポートは、当社の継続的なイノベーションと市場におけるリーダーシップを裏付けるものです。併せて発表された 2025年版ガートナー®「Security Service Edge Critical Capabilities )」Security Service Edge において、Skyhigh Security 「データセキュリティ」のユースケースで最高スコアSkyhigh Security 、Skyhigh SSEポートフォリオの中核的な差別化要因であるデータ保護分野における、長年にわたる当社のリーダーシップを改めて裏付けました。 この評価は、規制の厳しい業界向けに特別に設計された、統一された「データファースト」のSSEプラットフォームへの当社の継続的な投資を反映したものです。このプラットフォームは、単一のクラウドネイティブコンソールを通じて、Secure Web Gateway SWG)、Cloud Access Security Broker CASB)、Zero Trust Network Access ZTNA)を統合し、その中核には高度なData Loss Prevention DLP)機能が組み込まれています。

本資料に記載されている情報は、Skyhigh Security事項Skyhigh Security意見を反映したものであり、情報提供のみを目的としています。本資料のいかなる内容も、法的助言を構成するものではなく、またそのように解釈されるべきものでもありません。 適用される法令および規制に基づくコンプライアンス義務の評価については、お客様が単独で責任を負うものとします。Skyhigh Security 利用は、お客様が地域、国内、または国際的な法的または規制上の要件へのコンプライアンスを達成または維持することを保証、確約、または保証するものではありません。お客様の組織のコンプライアンス要件に特化したガイダンスについては、資格のある法律顧問に相談することをお勧めします。

著者について

Skyhigh Securityプロダクトマネジメント担当ディレクター、スチュアート・ベイリス

スチュアート・ベイリス

プロダクトマネジメント部長

スチュアートは20年以上にわたりプロダクトマネジメントの職務に従事し、世界最高水準の受賞歴を誇るクラウドベースのセキュリティソリューションを提供してきました。現在、スチュアートはSkyhigh Security チームを率い、Secure Security Edge(SSE)クラウドセキュリティプラットフォームを提供するグローバルインフラストラクチャの責任者を務めています。

サラン・ワルドカール

サラン・ワルドカール

シニア・テクニカルプロダクトマーケティングマネージャー

Sarang Warudkarは、サイバーセキュリティ分野で10年以上の経験を持つ経験豊富なプロダクトマーケティングマネージャーであり、技術革新を市場のニーズに合わせることに長けています。CASB、DLP、AI駆動型脅威検出などのソリューションに関する深い専門知識を持ち、効果的な市場投入戦略と顧客エンゲージメントを推進しています。サランはIIMバンガロールでMBAを、プネ大学で工学の学位を取得しており、技術的および戦略的洞察力を兼ね備えています。

ブログへ戻る