クラウドサービスとは、インターネットを通じて利用する情報システムサービスのことです。サーバーなどのハードウェアを必要とせず、手軽に利用できることから様々な分野や用途で利用されています。
- 個人で使っている身近なクラウドサービスには、Googleの各種サービス(検索、スケジュール、ドライブ、ドキュメント等)、TwitterなどのSNSも含まれます。
- 会社であれば、基幹システム、会社間の受発注システム、労務管理、勤怠システム等、いろいろなところで使われています。
クラウドサービスのセキュリティ管理では、サービスに関連するセキュリティ対策、サポート体制、データの取扱いなどについて明確にしておくことが重要です。
IPAの「クラウドサービス安全利用チェックリスト」では、自社で使うクラウドサービスを利用するためのポイントを次の3つに分けています。
- 選択するときのポイント
- 運用するときのポイント
- セキュリティ管理のポイント (⇐ ここです。)
ここでは、IPAのクラウドサービス安全利用チェックシートを利用して、クラウドサービスのセキュリティ管理のポイント5つのポイントについてまとめています。
セキュリティ管理のポイント
ここでは、クラウドサービス特有のリスクや関連する法令について対応できているか確認します。
11.付帯するセキュリティ対策を確認する
クラウドサービスにおけるセキュリティ対策が公開されているか確認します。
クラウドサービスを提供する事業者が公開しているセキュリティ対策について確認します。
導入を検討しているクラウドサービスの仕様について具体的に確認するということです。
例えば、サイバー攻撃や通信傍受に対する対策が十分されているについて、次の様なことが明示されているか確認します。
- 通信の暗号化
- ファイアウォールや侵入検知
- ウイルス対策
- サービスで使っているOSやソフトウェアの脆弱性対応やセキュリティパッチの適用
12.利用者サポートの体制を確認する
サービスの使い方が分からない、疑問や悩んでいることに対するサポート(ヘルプデスクやFAQ)について具体的な内容を確認します。
例えば、クラウドサービスを週末も利用するのであれば、次の様なことを確認します。
- サポートの受付時間(週末夜間も受付可能か)
- 連絡方法
- メール、電話、チャット、オンライン
- 週末でも電話連絡可能か
- 問い合わせ回数
- サポートの料金
予算次第の面もありますが、運用に慣れてきたらサポート内容を最小限にしていく方法もあります。
13.利用終了時のデータを確保する
サービスの利用が終了したときの、データの取扱い条件について確認します。
例えば、利用中のクラウド型会計システムを他のクラウドサービスに変更する場合には、次の様なことを確認します。
- 過去のデータを含む全データを返却または社内のパソコンなどにダウンロードできるか。
- データのフォーマットは、他のサービスと互換性があるか。
- 移行先のサービスは返却されたデータを一括して取り込む機能があるか。
- 返却後にシステム上に残るデータは、完全に消去または再利用されないことが保証されているか。
例えばデータは増える一方なので、1年、3年、5年後にどの程度のデータ量になり、他のサービスに移行する場合の方法についても確認しておきます。
サービスを変更する際のデータ移動(移行)には、意外に費用がかかります。
14.適用法令や契約条件を確認する
個人情報保護など関連法規制の遵守などを規定した利用規約等について確認します。
個人情報に限らず関連法規制への対応については、事前に文書(契約内容等)で確認します。
例えば、クラウドサービスに秘密情報や個人情報を保存する場合には、次の様なことを確認します。
- 利用者が入力したデータにサービス事業者がアクセスする場合の条件や責任について明記されているか。
- 設備の保守等を再委託している場合の再委託先の管理監督責任について明記されているか。
- 利用者が入力した個人情報に関して個人情報保護法に準拠することが明記されているか、安全管理措置や委託先の監督などについて確認します。
15.データ保存先の地理的所在地を確認する
データがどの国や地域に設置されたサーバーに保存されているか確認します。
会社の拠点が東日本にある場合、西日本にあるデータセンターを選べるかなどを確認します。
例えば、海外から受注し、外国のメーカーから直送してもらうECサイトを運用する場合に、各国の個人情報保護に係わる法律を遵守するためには、次の様なことを確認します。
- 事業者または事業者が利用しているプラットフォーム事業者・インフラ事業者が公表するデータセンターが所在する国・地域
- 個人情報保護に係わる国内および海外の法律・規制を確認する。
参考:法律・規制
以下のような法律・規制があります。
- 個人情報保護法第24条
外国第三者提供個人データを外国にある第三者に提供する場合は、あらかじめ本人の同意を得なければならないことがあります。
- EU一般データ保護規則(General Data Protection Regulation:GDPR)
日本国内の企業でも欧州経済領域(European Economic Area:EEA、EU加盟国28カ国、ノルウェー、アイスランド、リヒテンシュタイン)と個人データをやり取りする場合に適用対象となります。
参考:情報セキュリティ対策に役立つ情報
以下のリンクは、2020年6月現在のものです。
クラウドサービスの利用にかかわるリスク対応のためにJIS Q 27002(実践のための規範)から適切な管理策を選択し、導入するための助言とその最適な実施のための手引を提供しています。
- クラウドセキュリティガイドライン活用ガイドブック(経済産業省)
実際に発生した事故や、事業者が抱える様々なセキュリティ上の課題をベースに、ITサービスとしてのクラウドサービスに関するリスクと対策を、事業者と利用者のそれぞれについて解説しています。
クラウドサービスの安全・信頼性を向上させることを目的として、利用者のサービス選定における情報収集の負担を軽減する観点から、クラウドサービス事業者によるクラウドサービスに係る情報開示のあり方を示した指針
- SECURITY ACTION セキュリティ対策自己宣言(独立行政法人情報処理推進機構)
中小企業自らが情報セキュリティ対策に取組むことを自己宣言する制度で、自社の状況に応じて「一つ星」と「二つ星」の2段階の取組み目標があります。
まとめ
クラウドサービスのセキュリティ管理では、サービスに関連するセキュリティ対策、サポート体制、データの取扱いなどについて明確にしておくことが重要です。
ここでは、セキュリティ管理のポイントについて、以下の項目で説明しました。
- セキュリティ管理のポイント
- 11.付帯するセキュリティ対策を確認する
- 12.利用者サポートの体制を確認する
- 13.利用終了時のデータを確保する
- 14.適用法令や契約条件を確認する
- 15.データ保存先の地理的所在地を確認する
- 参考:法律・規制
- 参考:情報セキュリティ対策に役立つ情報
