パブリック クラウド サービスを利用する際のセキュリティ対策として考えるべきこと
グローバル競争を勝ち抜くためには、IT 技術を駆使した近代的な経営と働き方を身につける必要があります。インターネット、モバイル環境、様々なデバイスが普及した今、欧米では「場所や時間にとらわれない働き方」や「データ分析による科学的経営」が普及してきました。日本企業はこのような能力を身に着けたグローバル企業と競争をしていくことになるからです。これらのツールを検討するにあたっては、比較的低コストで短期間で導入が可能なクラウドサービスを検討することも競争力の強化に欠かせません。グローバル企業もほとんどの企業がすでにクラウドサービスの検討を開始し、実際に導入しています。
さて、クラウドサービスの導入に当たってはデータを組織外に出すことによるデータ漏えいなどのセキュリティに関する漠然とした懸念が挙げられます。しかし、競争に勝つためには意思決定者は「科学的なデータに基づく適切な判断」をしていく必要があるでしょう。たとえば、経済産業省が 2013 年に出している「クラウドセキュリティガイドライン 活用ガイドブック」でも、「クラウドサービスが提供され始めた当初に懸念されていた情報の流出や内部関係者による窃取、法的問題に関するトラブルなどは、クラウド環境に依存する問題としては現在のところ報告されていない」と報告されている通り、実際の課題にはなっていないことが分かります。クラウドサービスにデータを出すにあたっては、クラウドベンダー自体のセキュリティやコンプライアンスに対する体制と考え方をしっかり確認しておくことは必須 (何をチェックすべきかはこの記事最後の参考情報を参照) ですが、それに加えて組織自体の情報セキュリティの在り方についても、あらかじめ整理をしておく必要があります。これにより、どのデータが出せてどのデータが出せないのかということをはっきり認識することができます。
それにもかかわらず、組織がパブリッククラウドを利用するかどうか検討する際に、クラウドサービスベンダーの運用体制だけを確認して検討を終わっている例をたまに見かけることがあります。また、プライバシーマークや ISO27001 などはパブリック クラウドサービスを利用しても取得できるのかという心配をされるお客様もいらっしゃいます。いずれの例も、自分の組織のデータをどう扱うべきかという自分の組織としての方針決定をきちんと行う必要があります。クラウドベンダーはもちろん様々な厳しい基準をクリアするように対策を講じますが、最終的に情報やデータの管理に責任を負うのは利用者であるお客様自身になります。これは、クラウドを使うかどうかにかかわらず求められます。
自社で確認すべきチェックリスト
セキュリティはクラウドベンダーだけに求めるものではありません。クラウドサービスを利用するかどうかにかかわらず、組織の情報を守るためのガイドラインは自分たちで決めておく必要があります。情報は人やシステムを介在する以上、クラウドサービスを使わなかったとしても漏えいのリスクは 0% ではありません。情報は漏えいする可能性があるものとしてあらかじめ対策を立てておくことがリスク管理上とても重要です。
情報のセキュリティ対策として、3 つの観点から情報を分類して取り扱い方法を決定し、漏えいした場合のリスクについて検討しておくことをお勧めします。3 つの要素とは、情報の機密性、情報の可用性、情報の完全性のことであり、情報セキュリティでよく使われる要素です。以下に、それぞれの説明と例を挙げます。
- 情報の機密性によるデータ分類: その情報が万が一外部の人間、日本または海外の行政機関、競合他社などにわたったり公開された時に自分の組織に与えるインパクトの大きさに従って、クラウドを利用する情報を決定する。また、クラウドを利用するとしてもそこにかけるセキュリティのレベルを調整する。以下に分類の例をあげます。(分類は組織の業種業態や方針などにより異なる場合があります。)
- 高度な機密情報の例: 顧客の非公開情報、社員の非公開情報、自分の組織の非公開情報、営業秘密、特許情報、製品に関する機密情報、個人を特定できるデータ、治療記録、など。
- 機密度の低い情報の例: 開示されている情報、非公開情報だが開示されたとしてもインパクトが大きくないと考えられる情報、個人情報をもとに生成されているが個人識別性のない不可逆データ、など。
- 情報の可用性によるデータ分類:その情報が常にアクセス可能でないと業務に多大な支障をきたすかどうかをもとに、クラウドを利用する情報を決定する。以下に分類の例をあげます。(分類は組織の業種業態や方針などにより異なる場合があります。)
- 高可用性が要求される情報: コア業務システム、メール、電話、など。
- 可用性がそれほど高くなくてもよい情報: 経理会計、人事給与、営業支援、スケジュール管理、社内情報共有、Web ページ、バックアップデータ、など。
- 情報の完全性によるデータ分類:その情報が抜け落ちたり改ざんされたりすることで業務に多大な支障をきたすかどうかをもとに、クラウドを利用する情報を決定する。以下に分類の例をあげます。(分類は組織の業種業態や方針などにより異なる場合があります。)
- 高度な完全性が求められる情報の例: 資産情報、認証証書、取引金額、デジタル証明書、など。
- 完全性が損なわれても影響が少ない情報の例: 検索インデックス、複数個所にバックアップされているデータなど。
組織の情報やデータについて、このような分類をあらかじめしておくことで、どの情報はクラウドが使えてどの情報は使えないかについて、判断をする際に役立つと同時に、情報のセキュリティレベルに合致した適切な運用を行うことが可能になります。また、同時にプライバシーマークをはじめとする認証についても、パブリッククラウドを使っているから取得できないというよりは、自分の組織における個人情報の取り扱いについてきちんとプロセス化することでクリアすることができる課題です。
参考情報
クラウドサービスを採用する際のセキュリティについて、ベンダー側の情報でチェックが必要な点、気になる懸念点については以下のリソースが参考になりますのでご参照ください。
- Office 365 セキュリティセンター: Office 365 をご利用になる場合、お客様データをどう扱うか (広告のために内容をスキャンしない)、データの保管場所や透明性の確保、ISO27001 / EUモデル契約条項 / データ処理契約 / HIPPA-BAA / FISMA / FERPA など Office 365 が取得している認証、セキュリティ対策、サービス稼働率に関する情報などをご覧いただけます。
- クラウドベンダーに問い合わせるべき 10 カ条: セキュリティに関する期待に沿うクラウド サービス プロバイダーを選ぶうえで役立つように、情報に基づいて意思決定を行うためのプライバシーとセキュリティに関する主な考慮事項をまとめていますのでご活用ください。
- 【ビデオ】マイクロソフトの法務コンプライアンス対応とサービス品質へのこだわり: マイクロソフトでは、世界規模のクラウドサービスを安心安全に提供するためのデータセンターへの投資や、お客様がクラウドを導入する上での課題解決の取り組みを継続的に行っています。この活動を通して、マイクロソフトはお客様の中にはクラウドサービスを利用する際の不安を取り除いていきます。この記事では、そのような取り組みの中から、海外データセンター利用時の法務リスクに関する質問とよくある誤解、マイクロソフトのコンプライアンスに対する取り組み、データセンターの品質改善活動についての解説とビデオをご紹介します。