こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
近年、情報共有ツールやビジネスチャットなど、クラウドサービスの利用は増加しています。しかし、それとともにそのセキュリティリスクも高まりを見せています。
そこで総務省が公表したのが、「クラウドサービス提供における情報セキュリティ対策ガイドライン」。
このガイドラインは、改定を重ねながら、安全なクラウドサービス利用のための指針として利用されてきました。
では、これには具体的にどのような内容が記載されているのでしょうか。
今回はその内容と利用方法について詳しく解説します。
クラウドサービス提供における情報セキュリティ対策ガイドラインとは
このガイドラインは、クラウドサービスを安全に提供するための対策を記したものです。2014年に総務省から公表され、その後2度の改定を経て、現在の第3版に至ります。
これには、サービスの提供事業者とその利用者双方に向けた指針が示されており、その内容はサービスの安全・安心な提供・利用に役立ちます。
策定された背景
ガイドライン策定の背景としては、次の2つの要素が挙げられます。
- クラウドおよびIoTサービスの利用拡大
- サービス利用におけるリスクの増加
クラウドサービス市場は、世界的な拡大を続けています。
その売上高は2017年から2020年までの3年間で約2倍に。今後も更なる拡大が予想されています。
また近年はIoT分野の進化も激しく、さまざまなサービスが提供されるようになりました。
これらは異なるサービス同士での連携も可能にしながら、拡大・複雑化を続けています。
このような高度なサービスの普及・複雑化に伴い、情報の扱いに関する新たなリスクが懸念されるようになりました。クラウド・IoTサービスを狙ったサイバー攻撃は年々巧妙化し、ミスや不正などによる被害も後を立ちません。
そこで公表されたのが、このガイドライン。これは、リスクを抑えながらクラウド・IoTサービスを利用するための指針としての重要な役割を担っています。
目的と内容
ガイドラインの目的は、「クラウドサービスを安全・安心に提供・利用するための情報セキュリティ対策の促進」にあります。
また、副次的に期待できる次のような効果も策定の目的のひとつだと言えるでしょう。
- 大企業と比べ情報セキュリティ対策にリソースを割くことが困難な中小事業者における、リスク分析の負担軽減と優先すべき対策の提示
- 他サービスとの連携にあたっての、サプライチェーンを構成するサービス事業者に示す要求事項の指針としての活用
- 利用者によるサービス選定および利用における指針としての活用
これらの目的を実現するため、ガイドラインには、「事業者がクラウドサービスを提供する際に実施するべき情報セキュリティ対策」が詳しく記載されています。事例を交えた具体性の高い内容になっているため、事業者は自社のサービスの内容や規模に応じてその内容を活用できるでしょう。
【第3版】クラウドサービス提供における情報セキュリティ対策ガイドラインの主な改定ポイント
このガイドラインは、2021年に2度目の改定が行われ、現在のものは第3版となります。
この改定では、主に以下の3点において見直しが行われました。
②各サービスモデル(SaaS、IaaS、PaaS)における責任分界のあり方を追記・構成を見直し
③国際規格(ISO/IEC27017:2016)やNIST (米国立標準技術研究所)のガイドラインに記載されているセキュリティ対策との整合性を保つための見直し
クラウドサービスの複雑化を考慮し、サービスの種類ごとに内容および責任分界点を追記したこと、また国際規格やNISTに矛盾しないよう内容を見直したことが、大きな改定点です。
また構成の変更が行われ全体的に読みやすくなったことから、ガイドラインの活用促進も見込めます。
ガイドラインの利用手順
次に、ガイドラインの大まかな利用手順について見ていきましょう。
クラウドサービスに携わる経営者・組織長
サービスを提供する事業者、または利用者の経営者・組織長にあたる人は、このガイドラインを次のような流れで利用することが推奨されています。(引用元:「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」)
『I.序編』を読み、本ガイドラインの位置付け、利用方法、用語の定義等を確認する。
『II.共通編』の対策を実施。この際には、ベストプラクティスを参照する。
『V.IoTサービスリスクへの対応方針編』を確認し、IoTサービスならではのリスクを理解、事例等を確認する。
経営者や組織長は、組織における意思決定者です。正しい意思決定を行うためには、リテラシーを身につける必要があります。
ガイドラインはリテラシー向上に役立つため、その内容をよく理解した上で、それに沿った対策の実行を支持するようにしてください。
SaaSにおけるセキュリティ担当者・管理者
SaaSの利用におけるセキュリティ担当者・管理者については、以下の流れでの活用が推奨されています。(引用元:「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」)
『I.序編』を読み、本ガイドラインの位置付け、利用方法、用語の定義等を確認する。
自社が提供・利用するサービスがどのパターンに該当するかを確認し、 『II.共通編』『III.SaaS編』に基づいて対策を実施する。「基本」の対策を優先し、できるだけ「推奨」の対策も実施する。この際には、ベストプラクティスを参照する。また、評価項目の対策参照値は、対策の実施レベルの判断目安として活用することもできる。
『V.IoTサービスリスクへの対応方針編』に応じてIoTサービスならではのリスク対策を確認し、実施する。
基本の利用手順は経営者・組織長の場合と同じですが、『III.SaaS編』の内容に沿った対策が必要な点には注意しましょう。
PaaS/IaaSにおけるセキュリティ担当者 ・管理者
PaaS/IaaSの利用におけるセキュリティ担当者・管理者については、以下の流れでの活用が推奨されています。(引用元:「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」)
『I.序編』を読み、本ガイドラインの位置付け、利用方法、用語の定義等を確認する。
自社が提供・利用するサービスがどのパターンに該当するかを確認し、 『II.共通編』『IV.PaaS/IaaS編』に基づいて対策を実施する。「基本」の対策を優先し、できるだけ「推奨」の対策も実施する。この際には、ベストプラクティスを参照すると良い。また、評価項目の対策参照値は、対策の実施レベルの判断目安として活用することもできる。
『V.IoTサービスリスクへの対応方針編』に応じてIoTサービスならではのリスク対策を確認し、実施する。
PaaS/IaaSについても、基本の利用手順は同じです。ただし、『IV.PaaS/IaaS編』の内容に沿った対策が必要な点には注意してください。
クラウドサービスを選ぶ際のポイント
クラウドサービスを選ぶ時には、サービス内容や料金だけでなく、セキュリティ面にも目を向ける必要があります。
その際には、必ず次の3つのポイントに注目しましょう。
- セキュリティ対策
- 発生したインシデントへの対応
- 連携事業者の有無とその安全性
各ポイントについて詳しくご説明します。
セキュリティ対策
サービス選定にあたっては、まずはそのサービスにどんなセキュリティ対策が整備されているのか確認しましょう。
安全なサービス利用のためには、暗号化や管理者権限の強度、脆弱性評価など、十分な対策が整備されているサービスを選ぶことが大切です。
また、災害の多い日本では、災害に備えた対策も重要です。特にデータセンターについては、万が一の災害を念頭に、その環境とセキュリティ強度の高さを確認しておかなければなりません。
発生したインシデントへの対応
クラウドサービスについては、脅威を未然に防ぐ対策だけでなく、万が一インシデントが発生した場合の対応も確認しておく必要があります。
近年のサイバー攻撃は巧妙化しており、それを完全に防ぐことは困難です。よって、「インシデント発生時にどれだけ被害を抑えられるか」という点も、クラウドセキュリティの重要ポイント。とにかく迅速な対応が可能なサービスを選ぶべきでしょう。
連携事業者の有無とその安全性
クラウドサービスではその提供にあたって、提供事業者以外に、サービス連携している他の事業者が関わっていることもあります。この場合、セキュリティ面での確認にあたっては、提供事業者だけでなく連携事業者も対象にすべきです。
提供事業者のセキュリティが万全でも、連携事業者のセキュリティに欠陥があれば、リスクは高まってしまうので注意しましょう。
まとめ
「クラウドサービス提供における情報セキュリティ対策ガイドライン」は、適切なクラウド利用の指針として役立つものです。安全・安心にクラウドサービスを利用するためには、サービス提供者はもちろん、その利用者も、その内容を確認・理解しておく必要があります。
クラウドサービスは、今後ますます進化し、その可能性を広げ、複雑化していくと考えられます。それに伴い、リスクも高まっていくでしょう。
この流れに対応し、リスクを抑制するためにも、各企業はガイドラインを積極的に活用していくようにしてください。
