Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > BSI C5:ドイツのクラウドセキュリティフレームワークを活用したコンプライアンス対応

BSI C5:ドイツのクラウドセキュリティフレームワークを活用したコンプライアンス対応

by Danielle Barbour updated 1月 8, 2026 規制コンプライアンス
Reading Time: 7 minutes

ドイツでクラウドサービスの導入を検討している方、またはすでにドイツのクライアントと取引している方は、BSI C5という言葉を目にしたことがあるでしょう。RFPで登場したり、ベンダー評価時にコンプライアンスチームが指摘したり、ドイツの子会社から繰り返し問い合わせがあったりするかもしれません。

押さえておきたいポイントは、BSI C5は単なるコンプライアンスのチェック項目ではないということです。ヨーロッパ最大級の経済圏であるドイツにおいて、クラウドセキュリティの事実上の標準となっています。さらに、ドイツのEU全体への規制影響力を考えると、ベルリン発の動きがドイツ国内だけにとどまることはありません。

本記事では、BSI C5の具体的な要件、なぜドイツ企業がこれほど重視するのか、クラウドサービスプロバイダー選定時に何を意味するのかを解説します。フレームワークの構造、認証取得プロセス、C5認証プロバイダーと取引することのビジネス的な意味についても取り上げます。

エグゼクティブサマリー

主なポイント:BSI C5は、ドイツの包括的なクラウドセキュリティフレームワークであり、クラウドサービスプロバイダーに対し、17分野121項目の管理策による最低限のセキュリティ要件を定めています。ドイツ連邦情報セキュリティ庁(BSI)が策定し、特に政府、医療、金融サービス分野でのクラウド導入における信頼の基盤として機能しています。

なぜ重要なのか:ドイツでビジネスを行う組織は、クラウドサービスプロバイダーにC5準拠を求めるケースが増えています。C5がなければ、重要な市場セグメントへの参入が事実上不可能となります。ドイツの規制当局は、C5認証を適切なセキュリティ対策の証拠として認めており、規制コンプライアンスの観点からも不可欠です。このフレームワークの影響はドイツ国内にとどまらず、EU全体のクラウドセキュリティ標準にも波及しています。

5つの重要ポイント

  1. BSI C5は、17のセキュリティ分野に分類された121の必須管理策で構成されています。 これらの管理策は、物理的セキュリティやアクセス管理からインシデント対応、事業継続まで幅広く網羅し、マルチテナント環境特有のクラウドセキュリティリスクに包括的に対応しています。

  2. C5認証には、設計と運用の有効性を検証する独立したType 2監査が必要です。 一時点の認証とは異なり、C5監査人は通常6か月間にわたり管理策の運用状況を評価します。これにより、書面上だけでなく実際の運用においてもセキュリティ対策が継続的に機能していることを保証します。

  3. ドイツの政府機関や規制業界では、クラウドサービスにC5準拠を義務付けるケースが多いです。 銀行、保険会社、医療機関、政府機関などは、契約要件としてC5を明記することが一般的であり、単なるセキュリティ対策ではなく市場参入の条件となっています。

  4. このフレームワークは、データ分離やマルチテナンシーなどクラウド特有のリスクに明確に対応しています。 C5は、従来のITセキュリティ規格を超え、クラウドコンピューティング特有の課題(責任分担モデル、動的リソース割り当て、テナント間のデータ保護など)に重点を置いています。

  5. C5:2025では、新たな技術に対応した強化要件が導入されます。 次期バージョンでは、コンテナ管理、サプライチェーンリスク、ポスト量子暗号、コンフィデンシャルコンピューティング、データ主権などが追加され、ドイツのクラウドセキュリティ要件の今後の方向性を示しています。

BSI C5の起源と権威を理解する

ドイツ連邦情報セキュリティ庁(BSI)は2016年にC5を策定しましたが、そのルーツはさらに深く、1991年の冷戦後の情報セキュリティ機能再編に遡ります。これは単なる官僚的な再編ではなく、機密情報主体のインテリジェンスから、民間向けの透明性と予防的サイバーセキュリティへの本質的な転換を意味していました。

どのデータコンプライアンス規格が重要か?

Read Now

Cloud Computing Compliance Criteria Catalogue(C5)は、ドイツ企業がクラウドセキュリティに明確な指針を求めていた時期に登場しました。従来のITセキュリティフレームワークはマルチテナンシーに対応しておらず、ISO 27001も動的リソース割り当てをカバーしていませんでした。分散型クラウドアーキテクチャにおけるデータ主権についても明確な答えがありませんでした。

BSIは、こうしたギャップを埋めるためにC5を設計しました。既存の管理策をクラウド向けに流用するのではなく、クラウドネイティブな前提から設計された点が特徴です。これにより、クラウドサービスの実態に即した管理策となり、従来型ITセキュリティモデルへの無理な適用を回避しています。

17分野:C5がカバーする範囲

C5の121項目は、クラウド運用のあらゆる側面を網羅する17分野に分かれています。ここでは、実際にどのような内容なのかを解説します。

組織的コア管理策

フレームワークは、情報セキュリティマネジメントシステム(ISMS)の構築、セキュリティポリシーの策定、人的セキュリティ管理など基礎から始まります。これ自体は目新しいものではありませんが、C5ではクラウドプロバイダーと顧客間のインターフェースや依存関係について、具体的な文書化が求められます。

たとえば、脆弱性が発見された場合、誰が誰に通知するのか。インシデント発生時のエスカレーション経路はどうなっているのか。C5は、こうした関係性を明確に文書化することを義務付けており、責任分担モデルで曖昧になりがちな部分を解消します。明確なインシデント対応計画が不可欠となります。

物理的・環境的セキュリティ

C5の物理的セキュリティ要件は、単なるデータセンター管理策を超えています。複数拠点での運用冗長性を証明し、真の地理的冗長性を確保するための距離要件も明記されています。物理的バリアには10分間の侵入耐性が求められますが、これはセキュリティインシデント時の対応時間分析に基づくものです。

環境管理策も同様に具体的です。データセンターは停電時に最低48時間自立運転できること、冷却システムは過去の最高気温に3Kの安全マージンを加えた5日間連続運転に耐えることなど、推奨事項ではなく監査可能な要件として定められています。

技術的セキュリティ運用

ここがC5の大きな特徴です。共有仮想・物理リソースのセキュリティ確保について、データ分離のための詳細な要件が定められています。LUNバインディング、LUNマスキング、セキュアゾーニングなどは、特定サービスで必須となっています。

脆弱性管理もCVSSスコアに基づき厳格な対応期限が設けられています。クリティカル(9.0-10.0)は3時間以内、高リスク(7.0-8.9)は3日以内のパッチ適用が必要です。完璧なセキュリティではなく、予測可能かつ監査可能な対応時間を顧客がリスク評価に組み込めるようになっています。

クラウド特有の要件

C5は、クラウド特有の課題にも専用の管理策を設けています。マルチテナント環境でのデータ分離、動的リソースプロビジョニングのためのキャパシティ管理プロセス、ハイパーバイザー層のCISベンチマークやBSI IT-Grundschutzモジュールに基づくハードニング要件などが含まれます。

また、現代的なDevOps運用にも対応。継続的デリバリーパイプラインでは、開発・テスト・本番環境の分離が必須。自動デプロイツールにはロールベースアクセス制御、バージョン管理では問題発生時の迅速なロールバックが求められます。

認証取得プロセス:単なるチェックボックスではない

C5認証の取得は簡単ではありません。プロバイダーはType 2監査を受け、独立した監査人が設計・運用の有効性を一定期間(通常6か月)にわたり検証します。この長期評価により、書面上は問題なくても運用で機能しない管理策を見抜くことができます。

監査人には、公開企業でのIT監査経験3年以上やCISA、CISM、CRISCなどの資格が求められます。単なる書類審査ではなく、管理策の実地検証、担当者へのインタビュー、対策の実効性確認が行われます。

最終的な認証報告書には、管理環境に関する経営陣の主張、詳細な管理策説明、テスト手順、個別テスト結果が含まれます。逸脱があれば、監査人が是正計画とともに記録します。この透明性により、顧客はマーケティング主張に頼らず、情報に基づいた判断が可能です。包括的な監査ログが全プロセスを支えます。

なぜドイツ企業はこれほど重視するのか

ドイツでC5が重視される背景には、いくつかの要因が重なっています。第一に、ドイツのデータ保護文化はGDPR以前から根付いており、セキュリティ不備による法的責任も現実的です。C5認証は、適切な技術的・組織的対策を講じていることの防御可能な証拠となります。

第二に、業界ごとの規制でC5が参照されるケースが増えています。銀行や医療分野の規制では、C5が適切なセキュリティ対策の証明として認められています。政府調達でもC5が必須となることが多いです。

第三に、C5は実務的な課題を解決します。C5以前は、各ドイツ企業がクラウドプロバイダーごとに個別のセキュリティ評価を実施しており、同じ質問への回答や評価作業が重複していました。C5は、誰もが参照できる標準化された包括的評価を提供します。

C5を無視するビジネスリスク

C5認証なしでドイツ市場に参入することは、明確なビジネスリスクを伴います。政府契約から即座に排除され、金融サービス分野の機会も失われます。医療機関も、機密データ処理に非C5サービスを使うことが正当化できません。

リスクは機会損失だけにとどまりません。非C5プロバイダーを利用するドイツ企業は、監査や規制当局からの厳しいチェックを受けます。なぜ業界標準のセキュリティ認証を求めなかったのか説明責任が生じ、インシデント発生時にはC5非準拠がリスクを増幅させます。強固なセキュリティリスク管理には、認証取得済みプロバイダーとの連携が不可欠です。

C5:2025への備え

次期C5:2025は、ドイツのクラウドセキュリティ要件の今後の方向性を示しています。コンテナ管理に専用の管理策が設けられ、コンテナ化が標準運用となった現状を反映。サプライチェーンリスク管理も必須となり、近年のソフトウェアサプライチェーン攻撃の教訓が盛り込まれています。

ポスト量子暗号要件は、現行の暗号化技術が量子コンピュータの進展に耐えられない可能性を見据えたものです。コンフィデンシャルコンピューティング管理策は、クラウドプロバイダーにデータを晒すことなく機密データを処理するニーズの高まりに対応。データ主権コンプライアンス管理策も一層具体化し、今後もデータローカライゼーションへの規制強化が続くことを示唆しています。

これらは遠い将来の話ではなく、今から準備が必要です。正式リリースは2026年ですが、方向性は明確です。ドイツ企業は、クラウドプロバイダーにこれら新たなリスクへの積極的対応を期待しています。

KiteworksがBSI C5要件への対応を支援

Kiteworksは2025年12月にBSI C5認証を取得し、ドイツの厳格なクラウドセキュリティ要件への対応を実証しています。認証取得だけでなく、当社プラットフォームはC5の主要要件をカバーする具体的な機能を備えています。

統合プラットフォームアーキテクチャは、C5が求める包括的なログ管理と集中制御に直接対応。複数ツールによる分断された監査証跡ではなく、CISOダッシュボードを通じてすべての機密データ交換を一元的に可視化でき、監査時のコンプライアンス証明を容易にします。

プラットフォームのエンドツーエンド暗号化(顧客管理型鍵)は、C5の厳格な暗号要件に準拠。AES 256暗号化を用い、組織が暗号鍵を独占的に管理できるため、データ保護の基本要件を満たすとともに、政府によるデータアクセスへの懸念にも対応します。

自動コンプライアンスレポート機能は、ドイツの監査人が求める文書化を自動生成。すべてのデータアクセス、変更、転送を改ざん防止の監査証跡として記録し、規制当局から適切なセキュリティ対策の証拠提出を求められた際にも、即座に包括的な記録を提示できます。

さらに、Kiteworksのきめ細かなアクセス制御は、C5が求める職務分掌の実現をサポート。ロールベース権限、多要素認証、セッション管理など、ドイツ企業が共有クラウド環境で機密データを保護するために必要な技術的管理策を提供します。

詳細はカスタムデモを予約してください。

よくあるご質問

いいえ、BSI自体がC5非準拠に対して直接罰金を科すことはありません。BSIの公式文書によれば、非準拠によるコストは、直接的なBSI制裁ではなく間接的な結果として現れます。これには、GDPR準拠要件など他のフレームワークによる規制上の制裁(全世界売上高の最大4%まで)、データ侵害による法的責任、ドイツ市場でのビジネス制限などが含まれます。ドイツの公共部門組織はC5準拠プロバイダーの利用が義務付けられていることが多く、非準拠プロバイダーはこれらの契約から事実上排除されます。

クラウドプロバイダーがAWSやAzureなどのサブサービス組織を利用する場合でも、自社サービスに関するC5認証を取得する必要があります。C5のサブサービス組織要件により、監査にサブサービス管理策を含める「インクルーシブ方式」または監視状況を文書化する「カーブアウト方式」のいずれかを選択できます。プロバイダーは、サブサービスの有効性をどのように監視し、全体のセキュリティ責任を第三者リスク管理で維持しているかを示さなければなりません。

C5基本要件は、認証取得に必要な121項目の最低管理策であり、通常の保護ニーズに適したセキュリティを反映しています。追加要件は、より厳格なパッチ適用期限や冗長性強化など、より高い保護要件に対応します。高度な機密データを扱う組織は、政府や金融サービスなど強固なデータガバナンスが求められる用途で、プロバイダーが基本要件を超える追加要件も満たしているかを確認すべきです。

C5認証報告書は最大3年間有効で、年次サーベイランス監査が必要です。監査対象期間(Type 2は6か月以上の運用評価)を確認し、限定意見や逸脱・是正計画の有無、対象サービスが自社利用範囲をカバーしているか、顧客側で実施すべき補完的管理策の内容をチェックしてください。監査ログの徹底したレビュー体制を維持することで、継続的なコンプライアンス確認が可能です。

Kiteworks Europe AGは、2025年12月19日にHKKG GmbHによる独立検証を経てBSI C5認証を取得しました。この認証は、ドイツ市場でのデータコンプライアンスを目指す組織を支援します。

追加リソース

  • ソリューション
    BSI C5をコンプライアンス負担から市場優位性へ
  • ブログ記事
    ドイツ金融サービス企業向けセキュアファイル共有の究極ガイド
  • ブログ記事
    GDPR、BaFin、セキュアファイル転送:ドイツ金融機関のためのコンプライアンスガイド
  • ソリューション
    ドイツ連邦データ保護法に対応したセキュアで効率的なコンプライアンス
  • ブログ記事
    ドイツの銀行におけるセキュアファイル共有で規制コンプライアンスを達成する方法

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks