PR

クラウドサービスの安全利用:選択するときのポイント

セキュリティハンドブック
2020.07.13

クラウドサービスとは、インターネットを通じて利用する情報システムサービスのことです。

クラウドサービスには次の様なものがあり、サーバーなどのハードウェアを必要とせず、手軽に利用できることから様々な分野や用途で利用されています。

  • 個人で使っているクラウドサービスには、Googleの各種サービス(検索、スケジュール、ドライブ、ドキュメント等)、TwitterなどのSNSも含まれます。
  • 会社であれば、グループウェア(スケジュール、設備予約など)、基幹システム、会社間の受発注システム、労務管理、勤怠システム等、いろいろなところで使われています。

さて、クラウドサービスを選ぶ際には、何のためにどの様な情報を誰が扱うのかを事前に検討し明確にしておくことが重要です。

IPAの「クラウドサービス安全利用チェックリスト」では、自社で使うクラウドサービスを利用するためのポイントを次の3つに分けています。

  • 選択するときのポイント
  • 運用するときのポイント
  • セキュリティ管理のポイント

ここでは、クラウドサービスを利用する前に検討することと、IPAのクラウドサービス安全利用チェックシートを利用して、クラウドサービス選択の6個のポイントについてまとめています。

スポンサーリンク

会社でクラウドサービスを利用する前に確認すること

情報システム部などの独立した組織を持つ大企業はさておき、中小企業においては、「1人情シス」という言葉もあるようですが、インフラを含む情報システムを1人で維持・管理し、社内サポートをしているケースも少なくないようです。

情報セキュリティのリスク、会社の重要な情報を守るためには、「1人情シス」の状態であれば、クラウドサービスの利用は必須だと考えています。

はかせ
はかせ

クラウドサービスの利用は、会社の利益と重要な情報を守るためのコストの判断が不可欠です。

会社の規模によらず、情報システムを自社だけで構築・維持・管理することは、ほとんどの場合現実的ではないと考えています。

はかせ
はかせ

費用対効果だけでなく、何のためにやっているのかを定期的とは言いませんが考え直してみることが必要です。

クラウドサービスを利用するということは、情報セキュリティ対策の一部については、サービス提供事業者に委ねる部分が発生します。

この事業者に委ねる部分については、利用者が直接管理することはできませんので、サービスの機能だけでなく、サービスに付随するセキュリティ対策についても、きちんと確認してから利用します。

クラウドサービスのセキュリティ対策は、以下のようなクラウドサービス固有のリスクを考慮して検討します。

  • インターネットを使うということは、外部からの攻撃を受けやすいということです。
  • 1台のコンピュータを共用することにより、1台のインシデントが多数の利用者に影響します。
  • 1つのサービスが複数の事業者で構成されている場合には、すべての対策を把握することが現実的には難しくなります。
インシデントとは、好ましくない出来事、事故が発生するおそれのある事態、事故となる兆候と考えています。
1つのサービスを提供するためには、データセンター・ネットワーク回線などの設備、サーバー・ルーターなどの機器、OSやアプリケーションなどのソフトウェアなどがあり、それぞれ別の事業者が運営していることもあります。
スポンサーリンク

クラウドサービス安全利用チェックシートの利用

クラウドサービスのセキュリティは、サービスを提供する事業者と利用者との両者が、それぞれの役割・責任を分担し、必要とされる対策を実施することにより、維持・向上を図ることができます。

ここでは、これからもますます便利になる、クラウドサービスを活用するために、IPAの「クラウドサービス安全利用チェックリスト」と「解説編」を参考に、利用者としての役割・責任を認識して、クラウドサービスを利用するためのポイントを説明します。

IPAの「クラウドサービス安全利用チェックリスト」

IPAの「クラウドサービス安全利用チェックリスト」のポイントは、

  • 選択するときのポイント
  • 運用するときのポイント
  • セキュリティ管理のポイント

の計15項目あります。

ここでは、クラウドサービスを選択するときのポイントについて説明します。

スポンサーリンク

クラウドサービスを選択するときのポイント

クラウドサービスの機能や情報セキュリティ対策はサービスを提供する事業者の対応に依存する部分が多いため、必要な機能やセキュリティ対策を確認して選択します。

1.どの業務で利用するか明確にする(誰が使うかを明確にする)

どの業務でクラウドサービスを使う業務や情報の取り扱い(誰がどの情報を扱うのか)を検討し、業務の切り分けや運用ルールを明確にします。

例えば社内情報を共有するために、次の様なことを実施します。

  • グループウェアを利用し、社員のスケジュール管理を行う。
    • グループウェアを利用する社員全員のIDとパスワードを管理します。
  • オンラインストレージに製品カタログを保存して営業で共有する。

2.クラウドサービスの種類を選ぶ

業務に適したクラウドサービスを選び、メリットについて確認します。

クラウドサービスを導入するに当たり、何のために、どの様な効果を狙うのかも明確にしていきます。

選択する場合には、クラウドサービスの仕様だけでなく維持管理の費用なども考慮します。

ある程度候補を絞り込み、実際に試用してみることが必要です。

例えば、社外でも業務ができるようにするために、次の様なことを実施します。

  • 経費精算にクラウドサービスを利用し、外出先や自宅などどこでも経費精算ができる。
  • 経費精算に関わる社内の作業時間を短縮し、サービス利用料を上回るコストを削減する。

3.取扱う情報の重要度を確認する(リスク管理に関連します)

クラウドサービスで取り扱う情報が漏えい、改ざんされたり、消失、サービスが停止したときの影響を確認します。

クラウドサービスの障害が発生した場合を想定して、実施する業務や取り扱う情報のすべてについて、事前にリスク分析を行います。

はかせ
はかせ

ここで言うリスク分析は、最初からISMSでいうリスク分析のレベルをしなければならないということではありません。

まずは、例えばクラウドサービスが1時間、1日、数日使えなくなった場合にどうなるのか考えてみることや、クラウドサービスで扱う情報が流出するのはどの様なばあいなどかについて考えてみることが重要です。

例えば、お客様の個人情報をクラウドサービスに保存していて、サイバー攻撃で個人情報が漏えい(流出)した場合の影響について、次の様なことを想定してどのように対応することになるか検討します。

  • 悪用などで本人に多大な迷惑がかかってしまう。
  • 個人情報が流出した本人への謝罪、補償や関係者への連絡が必要になる。
  • 個人情報保護委員会に報告が必要になる。
  • 被害拡大防止や再発防止のために多額の費用がかかる。

4.セキュリティのルールと矛盾しないようにする

情報セキュリティのルールとクラウドサービス活用との間に矛盾や不一致が生じないようにします。

例えば、給与計算をクラウドサービスで行うにあたり、従業員のマイナンバーを登録する必要があります。

しかし、

  • マイナンバーを記載した書類やデータを社外に保存することは社内ルールで禁止している。

のであれば、

  • 暗号化登録ができるサービスを利用し、暗号化した場合のみ社外の保存を許可する。

といったルールに変更することが必要になります。

5.クラウド事業者の信頼性を確認する

クラウドサービスを提供する事業者は信頼できる事業者を選択します。

例えば、会計業務(基幹システム)をクラウドサービスに移行するため、

  • 長期間利用できる。
  • セキュリティ対策を常に改善している。

サービスを選択するために、次の様なことを確認します。

  • 事業者が公表している財務情報を確認する。
  • 利用者数などの実績を問い合わせる。
  • 事業者の情報セキュリティ方針や関連した認証・認定制度の取得状況を確認する。

参考:クラウドサービス選択時に参考となる制度等

クラウドサービス選択時に参考となる制度等を以下に列挙します。

クラウドサービス事業者が適切なデータ保護やセキュリティ対策を実施していることをマークとして表示する制度があります。

いずれもURL記載のページ内でそれぞれの条件を満たすサービスが紹介されており、選定時の参考として利用することができます。

  • ISMSクラウドセキュリティ認証(一般社団法人情報マネジメントシステム認定センター)
    • 通常のISMS(JIS Q 27001)認証に加えて、クラウドサービス固有の管理策(ISO/IEC 27017)が適切に導入、実施されていることを認証するものです。
ISMS適合性評価制度 - 情報マネジメントシステム認定センター(ISMS-AC)
isms.jp
  • クラウド情報セキュリティ監査制度(特定非営利活動法人日本セキュリティ監査協会)
    • クラウドサービス事業者が基本的な要件を満たす情報セキュリティ対策を実施していることを監査し、その結果をCSマークの表示許諾を通じて利用者に対し、安全性が確保されていることを公開する制度です。
    • 外部監査と内部監査で「ゴールド」と「シルバー」の2種類があります。
JCISPA – JASA クラウドセキュリティ推進協議会 | クラウド情報セキュリティ監査制度JCISPA - JASA クラウドセキュリティ推進協議会
jcispa.jasa.jp
  • ASP・SaaS情報開示認定制度(特定非営利活動法人日本ASP・SaaS・IoTクラウドコンソーシアム)
    • 安全・信頼性に係る比較・評価・選択を行うために必要な情報を、クラウドサービス事業者が開示をしていることを認定する制度です。
    • クラウドで扱う情報や環境の種類に応じて、「医療情報」「特定個人情報」「IoTクラウド」「データセンター」など合計7種類の認定マークが定められています。
ASP・SaaS サービスのユーザ・提供事業者ともに有意義な認定制度 – クラウドサービスの安全・信頼性に係る情報開示認定制度
ASP・SaaSの安全・信頼性に係る情報開示認定制度の目的や意義、認定マークなど認定制度に関する詳しい情報をご案内しています。ASP・SaaSサービスの利用をご検討の方や認定制度へ申請をお考えのクラウドサービス事業者様は、こちらをご覧くださ...
aspicjapan.org

参考:IT活用を支援する情報処理支援機関

中小企業者等の生産性向上に資するITツールや中小企業のIT活用を支援するITベンダーを法令に基づいて認定し、中小企業者がITツール選定するために必要となる情報が開示されています。

  • 情報処理支援機関(スマートSMEサポーター)制度(中小企業庁)
    • 中小企業が使いやすいITツールの開発促進や中小企業のIT導入を通じた生産性向上を図ります。
    • 認定を受けたITベンダーの情報セキュリティ対策の実施状況を確認できます。
https://smartsme.go.jp/
smartsme.go.jp

6.クラウドサービスの安全・信頼性を確認する

サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証を確認します。

はかせ
はかせ

仕様的にはどのサービスを選んでも大きな違いはないことが多いようです。障害発生時だけでなく、日常的なサポート対応などについても確認します。

例えば、店舗にクラウド型POSレジを導入するのであれば、サービスが常時動いている必要があるります。このため、次の様なことを確認します。

  • クラウドサービスの事業者またはプラットフォーム事業者が公表している品質保証基準(SLA)を確認する。
  • システムの障害でデータ消失などの被害が発生したときに、どこまでが事業者の責任で、どこからが利用者の責任なのか利用規約で確認する。

SLA(Service Level Agreement):サービスレベルに関する合意書

「サービス及び合意されたサービスレベルを文書化した、サービスプロバイダと顧客間の書面による合意。(ISO/IEC20000-1)」

まとめ

クラウドサービスの選定では、何のためにどの様な情報を扱うのかを明確にしておくことが重要です。

ここでは、以下の項目について説明しました。

  • 会社でクラウドサービスを利用する前に確認すること
  • クラウドサービス安全利用チェックシートの利用
    • IPAの「クラウドサービス安全利用チェックリスト」
  • クラウドサービスを選択するときのポイント
    • 1.どの業務で利用するか明確にする(誰が使うかを明確にする)
    • 2.クラウドサービスの種類を選ぶ
    • 3.取扱う情報の重要度を確認する(リスク管理に関連します)
    • 4.セキュリティのルールと矛盾しないようにする
    • 5.クラウド事業者の信頼性を確認する
      • 参考:クラウドサービス選択時に参考となる制度等
      • 参考:IT活用を支援する情報処理支援機関
  • 6.クラウドサービスの安全・信頼性を確認する
スポンサーリンク
タイトルとURLをコピーしました