クラウドサービスの安全利用:運用するときのポイント

クラウドサービスとは、インターネットを通じて利用する情報システムサービスのことです。サーバーなどのハードウェアを必要とせず、手軽に利用できることから様々な分野や用途で利用されています。

  • 個人で使っている身近なクラウドサービスには、Googleの各種サービス(検索、スケジュール、ドライブ、ドキュメント等)、TwitterなどのSNSも含まれます。
  • 会社であれば、基幹システム、会社間の受発注システム、労務管理、勤怠システム等、いろいろなところで使われています。

クラウドサービスの運用では、管理担当者や利用者の範囲を定め、不測の事態に備えたバックアップをどこまで行うかを明確にしておくことが重要です。

IPAの「クラウドサービス安全利用チェックリスト」では、自社で使うクラウドサービスを利用するためのポイントを次の3つに分けています。

ここでは、IPAのクラウドサービス安全利用チェックシートを利用して、クラウドサービス運用の4つのポイントについてまとめています。

スポンサーリンク

運用するときのポイント

クラウドサービスを安全に利用するために、利用者側の体制やセキュリティ対策を決めます。

7.管理担当者を決める

クラウドサービスの技術的な側面などの特性を理解したうえで、業務に適した運用や設定・操作・ヘルプデスクを行うことができる、管理担当者を社内に確保します。

はかせ
はかせ

ICT技術に詳しい人ではなく、情報セキュリティやコンプライアンスについて理解できる担当者を選べるとよいと考えています。

社内システムでも同様だとは思いますが、クラウドサービスの管理者も1人のユーザーであると考えています。

例えば、クラウド型顧客管理システムの運用するために、次の様なことを実施します。

  • 入力項目やその活用については、営業部長が担当する。
  • 技術的な設定や社内のヘルプデスクは、システム管理者が担当する。

8.利用者の範囲を決める

クラウドサービスを利用する人の範囲を決め、どのような権限を与えるか適切に管理します。

はかせ
はかせ

クラウドサービスの利用は、業務内容を振り返り、担当業務の配分を見直す良い機会にもなりますので、活用してください。

例えば、販売管理をクラウドサービスで行う場合には、次の様なことを実施します。

  • 社長と販売部門従業員だけに、利用者アカウントを作成する。
  • 承認権限は従業員の上司に付与する。

クラウドサービスに限らず情報セキュリティは、「Need to Knowの原則」が前提になると考えています。

クラウド時代のNeed to Know~情報セキュリティ初めの一歩
情報システムの経験から情報セキュリティの考えをまとめました。Need to Knowが存在しない世界、さてどうやって情報セキュリティルールを作ろうか、ルール作り後日談、Need to Know番外編について説明しています。

9.利用者の認証を厳格に行う

パスワードなどの認証機能を適切に設定・管理します。

例えば、なりすましや不正ログインを防ぐためには、次の様なことを実施します。

  • パスワードは破られにくい安全なパスワードを利用する。
  • ID・パスワードの共有はしない。
  • サービスで以下の認証方式が提供されている場合は利用する。
    • 特定のパソコンでしか利用できないように電子証明書をインストールする。
    • パスワードを不正利用されてもログインはできないように「2段階認証」を用いる。

電子証明書とは

インターネットでクラウドサービスを利用するときに特定のPCからしかアクセスできないように制限するための「身分証明書」です。

2段階認証とは

複数の要素(記憶、所持、生体情報)を用いた認証方式である「多要素認証」や、同じ要素の認証を多段で実施する認証方式である「多段階認証」などがあります。

パスワードについては、以下の記事をご参照ください。

情報セキュリティハンドブック:5つの基本的対策と進め方のポイント
情報セキュリティ対策のルール作りの進め方と、5つの基本的な対策、脆弱性対策(OS等の更新)、ウイルス対策ソフトの導入、パスワード管理、ネットワーク機器やサービスの共有設定、脅威や攻撃の手口を知り対策に活かす情報収集について説明しています。

10.バックアップに責任を持つ

クラウドサービスの停止やデータの消失・改ざん等に備え、会社にとって重要な情報を手元に確保して、必要なときに使えるようにします。

はかせ
はかせ

クラウドサービスの停止等にどこまで備えるかは、対象となる情報と万が一に備えるためのコストとのバランスの問題でもあり、経営者が判断することの1つでもあります。

情報システムの担当者には、情報システムの維持管理だけでなく、経営者が判断できるようなデータや方策をまとめることも求められています。

例えば、会計データやホームページなど、消失や改ざんの影響が大きいものについては、次の様なことを実施します。

  • クラウドサービスの拡張機能にバックアップがある場合は利用する。
  • 定期的に社内の専用ハードディスクなどにもバックアップを取得する。
  • 直前のバックアップよりもさらに過去の状態に遡って復元できるように複数世代(毎日、毎週、毎月、2か月前など複数)のバックアップを取得する。
はかせ
はかせ

上記の実施策例は、予算しだいの面もあります。

リスク・ゼロはあり得ませんので、費用対効果を踏まえ、どこまで許容するか考えてみることが必要です。

まとめ

クラウドサービスの運用では、管理担当者や利用者の範囲を定め、不測の事態に備えたバックアップをどこまで行うかを明確にしておくことが重要です。

ここでは、運用するときのポイントについて、以下の項目で説明しました。

  • 運用するときのポイント
    • 7.管理担当者を決める
    • 8.利用者の範囲を決める
    • 9.利用者の認証を厳格に行う
    • 10.バックアップに責任を持つ
タイトルとURLをコピーしました