インターネット上で提供されるアプリケーションやストレージなどのITサービスは、クラウドサービスと呼ばれます。クラウドサービスは、他端末からのアクセスや複数人でのデータ共有が行いやすいことから、現在ではビジネスで活用されることも多くなりました。

とはいえ、インターネット上であらゆるデータを保存できるクラウドサービスを利用するには、一定のセキュリティリスクが生じます。このセキュリティリスクを重視して、経済産業省が発表した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」。

今回はガイドラインの内容について解説します。クラウドサービスの選定・運用・管理それぞれのポイントも解説しているので、サービス導入にあたってのチェックリストとしてもお役立てください。

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」とは

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」は、経済産業省によって2011年4月に発表されました。
このガイドラインでは、国際規格であるISO/IEC 27002(情報セキュリティマネジメントの実施においてのベストプラクティス)を基に、情報セキュリティの確保にあたって実践すべきことが、「クラウド事業者」と「クラウド利用者」それぞれの立場でまとめられています。

クラウド事業者側からも、クラウド利用者側からも、情報セキュリティの向上を目指すための基本の枠組みとなるガイドラインなのです。

出典:「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

ガイドラインが策定された背景

クラウドサービスの定着が進んだ2000年〜2010年の間に、クラウドサービスに関するセキュリティリスクは高まりました。当時は運用・管理に関するルールがなく、運用・管理体制の脆弱性がセキュリティリスクのターゲットとなったのです。
結果、サイバー攻撃や予期せぬ障害の影響を受け、保存されていたデータが漏洩したりシステムが停止したりデータが消滅したりといったセキュリティ事故が相次ぎました。

さらに、2011年3月には東日本大地震が起こり、災害によるクラウドサービスおよびビジネスへの影響を目の当たりにした人々の中では、事業継続意識も高まりを見せました。

このような背景を受けてガイドラインが発表されました。
サイバー攻撃や予期せぬ障害、災害などからデータを守るため、またどんな時でも事業を継続させるために、「クラウド事業者」および「クラウド利用者」がすべき対応を国のガイドラインとして定めるに至ったのです。

クラウドサービスを利用する際のポイント

ここからは、クラウドサービスのガイドラインに基づきながら、利用する際のポイントを、「アクセス制御」「自社社員への情報セキュリティの教育」「データバックアップ」の3つに分けて解説していきます。

アクセス制御

クラウドサービスのガイドラインの内容は、多数ある項目の中でも、アクセス制御に重点を置いた内容になっています。
アクセス制御で押さえておきたいのが、次の3点です。

・アクセス制御方針
・アクセス権限
・パスワード管理

順に見ていきましょう。

アクセス制御方針

アクセス制御方針とは、「社内外の人に、社内情報へのアクセス権を与える際の方針」のことです。クラウドサービスを導入する際には、それまでのアクセス制御方針が、これから導入するクラウドサービスにも流用できるかどうか確認しておくことが大切です。
アクセス制御機能は、クラウドサービスごとに異なるので、注意しておいてください。

アクセス権限

クラウドサービス上で保存する情報は、その重要度によってアクセス権限を絞る必要があります。それぞれの情報にアクセスできるユーザー数は、必要最低限にしておきましょう。
また、アクセス権限のミスによる情報漏洩にも注意が必要です。

アクセス権限の設定は、自社の従業員からの情報漏洩だけでなく、サイバー攻撃による不正アクセス防止にも効果的です。

パスワード管理

適切なパスワード管理は、情報を守るための基本です。第三者に推測されにくいパスワードの適切な保管を、従業員に徹底させる必要があります。

また、既に社内で適切なパスワードの管理体制が整っている場合には、クラウドサービスを導入する際に、そのパスワードの管理体制をクラウドでも継承できるかどうか確認しておきましょう。

自社社員への情報セキュリティの教育

クラウドサービスを安全に利用するには、実際に使用する社員のリテラシーも重要です。社員の情報セキュリティへの意識が低ければ、セキュリティリスクは高くなってしまいます。

ガイドラインでは、自社社員への情報セキュリティ教育において、次の3点を盛り込むよう記されています。

a) クラウドサービス利用のための方針,基準及び手順などの規程類
b) クラウドサービスごとの情報セキュリティリスク及びその対策
c) クラウドサービスを使用するにあたり考慮すべきシステム及びネットワーク環境におけるリスク

出典:「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

クラウドサービスを導入するにあたって、社員への情報セキュリティ教育は必須です。
実際にサービスを使う社員がクラウドサービス利用するためのルールやリスクを理解することで、情報セキュリティリスクは低減されます。

データバックアップ

クラウドサービスを利用する際、セキュリティ面での安全性を確保するためには、データのバックアップできる体制を整えておくことも大切です。
ガイドラインでは、データのバックアップについて次の5点を確認することが記されています。

a) クラウドサービスに付帯するバックアップ機能及び復元機能
b) 利用者自身が追加開発するバックアップ機能及び復元機能
c) バックアップデータの暗号化(暗号化の必要性を含む)
d) バックアップデータのローカルでの保管及び隔地保管
e) バックアップデータの保管期間

出典:「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

これを参考に、クラウド事業者側とクラウド利用者側の取るべきバックアップ体制を見ていきましょう。

クラウド事業者のバックアップ体制

クラウドサービスを利用すればバックアップはいらないと考えている方がいますが、これは間違い。クラウドサービスを利用する際、サービス利用中のサーバーダウンなどにより、データが消失してしまう危険性はあります。とはいえ、このようなリスクに対応するために、ほとんどのクラウド事業者は、メインのサービスとは別の場所でデータのバックアップを行なっています。

しかし、全てのクラウド事業者が必ずバックアップを取っているわけではありません。また、バックアップを取っていても、その内容が暗号化されていない可能性もあります。
クラウドサービスの利用時においては、バックアップの有無やその内容、場所、期間など、クラウド事業者側のバックアップ体制について確認しておく必要があります。

クラウド利用者のバックアップ体制

クラウドサービス上で保存するデータは、クラウド利用者側でもバックアップをきちんと取っておくことで、その安全性を向上させることができます。
クラウド利用者は、自分自身でのバックアップ機能や復元機能の追加も検討しましょう。

クラウドサービスを選ぶ際のポイント

クラウドサービスは種類が多く、どのサービスを導入すればいいか悩む方も多いでしょう。
導入時のポイントを解説します。以下のポイントを踏まえ、自社に合ったサービスを選定するようにしてください。

クラウドサービス導入の目的を明確にする

クラウドサービス導入にあたっては、まず導入の目的を明確にする必要があります。「クラウドサービスを入れることで何を目指すか」「どんな課題を改善するか」具体的な目的を決めましょう。
目的が曖昧だと、目指す方向性も曖昧になってしまいやすいので注意してください。

どの業務で利用するのか明確にする

目的を決めたら、クラウドサービス導入の対象となる業務も明確にしましょう。全社で導入する場合は必要ありませんが、特定の部署や決められた担当者がいる場合、対象となる業務を切り分けることで、クラウドサービスで取り扱う情報も明確にすることができます。

また、併せて導入するクラウドサービスの利用人数も大まかに把握しておきましょう。クラウドサービスによっては、利用人数や利用アカウント数によって費用が異なることがあります。利用者を事前に理解しておけば、費用感の把握にも役立ちます。

対象業務で扱う情報の重要度を確認する

クラウドサービスを利用すると、自社の情報をそのクラウドサービス上で保管することになります。万が一、その情報が消失や漏洩した場合の影響を認識しておきましょう。

クラウド事業者もバックアップの取得やセキュリティ対策を行っていることは多いですが、サイバー攻撃などの不正アクセスやコンピュータウイルスへの感染の可能性がある限り、こういったセキュリティ事故は絶対起きないということはありません。信頼できるクラウドサービスを選ぶことはもちろん重要ですが、万が一の事故を想定しておかないのは危険でしょう。

目的とニーズに合ったクラウドサービスを選ぶ

決めた目的や対象業務を踏まえ、それを実現できるクラウドサービスを選定します。
この時、機能はもちろん、価格や操作性などが自社ニーズと合っているかどうかよく確認するようにしましょう。

初期費用や月額費用などのランニングコストが安いというということはもちろん重要ですが、そのクラウドサービス導入で削減できるコストについても試算しておくとよいでしょう。決められた予算があるとは思いますが、価格が他のサービスより高額であっても、削減できるコストが大きいのであれば、つまり費用対効果が大きいのであれば、そのサービスの導入を検討するべきでしょう。
ただし、便利な機能が多ければ良いというものでもありません。クラウドサービス導入の目的と対象業務を見失わなず、そこから逸脱しない範囲で選定することが重要です。

クラウドサービス事業者の信頼性を確認する

クラウドサービスの選定では、そのクラウドサービスを提供する事業者の信頼性も重要な要素になります。その事業者が提供するインターネット上のサービスに、自社の重要な情報を預けることになるためです。

企業の経営状況や導入実績、導入企業による評価を把握するとともに、セキュリティ方針を公開しているかなどのセキュリティ対策への取り組み、暗号化通信やIPアドレス制限、端末認証などのセキュリティ体制もよく確認しておきましょう。

クラウドサービスの安定性を確認する

導入を検討しているクラウドサービスの安定性を確認するため、過去の障害の発生頻度や障害発生に伴うサービスの停止時間を確認するといいでしょう。頻繁にサービスが停止してしまうようであれば、業務に支障が出る可能性もあります。

また、障害の発生やサービスの停止をどのように知ることができるのか、クラウドサービス事業者から通知方法も確認しておきましょう。

クラウドサービスを運用する際のポイント

クラウドサービスの導入・運用にあたって押さえておきたいポイントは、次の4つです。

利用者の認証を強固にしておく
②利用者の範囲を決める
③バックアップに責任を持つ
④管理・運用の担当者を決める

クラウドサービスのアカウントを守るためには、まず利用者の認証を強固なものにする必要があります。パスワードを推測されにくいものに設定する他、他要素認証などを利用し、認証を簡単に突破できない体制を作りましょう。

さらに、クラウドサービスの利用者および情報にアクセスできる範囲も明確に決め、不必要な範囲にまで情報へのアクセスを許さないことも大切です。
バックアップに関しては、前述の通り、事業者側のバックアップ体制の確認と必要に応じた利用者側でのバックアップ追加を検討しましょう。

また、クラウドサービスの運用に関しては、管理・運用の担当者を決めておかなければなりません。クラウドの知識に長けた人材を担当者として配置することで、適切な対応のスピード感を持って実行できます。

クラウドサービスのセキュリティを管理する際のポイント

クラウドサービスのセキュリティを管理するにあたって押さえておきたいポイントは、次の3つです。

①付帯するセキュリティ対策を把握
②データの保存先を把握
③利用者サポート体制を把握

セキュリティ管理にあたっては、まずクラウド事業者により実装されたセキュリティ対策について把握しておくことが重要です。どんな対策が実装されているか把握し、足りない面を利用者側の対策で補うことで、クラウドサービスをより安全に利用することができます。

また、自社のデータの保存場所についても把握しておきましょう。サーバーは国内にあるとは限りません。サーバーが設置されている国や地域によっては、保管されているデータがその国の法令の影響を受けるためです。その結果、意図しない目的でデータの閲覧がされたり、データを押収されたりする可能性があるのです。
特別な理由がない限り、日本国内にサーバーがある企業の方が安心です。

さらに、トラブル時の早期解決のために、適用法令や契約条件を確認しておくなど、クラウド事業者側のサポート体制についても把握しておくと良いでしょう。

まとめ

ガイドラインを踏まえ、クラウドサービスの選定・利用・運用・管理にあたってのポイントをご紹介しました。

クラウドサービスを安全に利用するためには、そのリスクと対策についてよく知っておく必要があります。ちょっとした油断が大きなセキュリティ事故に繋がる恐れもあるため、従業員ひとりひとりの情報リスクに対する意識も重要でしょう。ガイドラインを参考に、万全な体制を構築した上で利用するようにしてください。


人事・総務の方、情シス・セキュリティ部門の方必見!

貴社は、いくつ当てはまりますか?

・ログインの度にパスワードを探して、コピーして、貼り付けるのが面倒
・簡単なパスワードを使いまわしてしまっている
・社員の入退社に伴うアカウント設定作業がたいへん
・契約中のサービスの利用状況が分からず、ムダの把握ができていない

そんなお悩みを1クリックで解決!無料から使える「jugaa」の詳細はこちら