皆さんがクラウドサービスを利用するにあたり、重視しているポイントは何でしょうか?少し前までなら「価格や機能」と答える方が多かったでしょうが、最近では「セキュリティ対策」について考える方が多いかもしれません。
2012年には有名レンタルサーバーサービスにおいて、約5,700件の顧客が利用していたデータが消失したという事件が発生しており、やはりクラウドサービスには大きなリスクがあるとして、セキュリティを重視する人が増えているのでしょう。提供事業者がどんなに「当サービスのセキュリティ対策は万全です!セキュリティ認証も毎年取得しています」と言っても、不安なものは不安なので仕方ありません。
価格や機能に限らずセキュリティ対策も含めて基準を作り、クラウドサービスを選ぶことは機密情報を守ることにも繋がります。本稿では、政府が発行している『クラウドサービス提供における情報セキュリティ対策ガイドライン』を参考にしながら、皆さんが持つべき基準について解説していきます。
『クラウドサービス提供における情報セキュリティ対策ガイドライン』とは?
同ガイドラインは、中小のクラウド提供事業者に対して、サービスのセキュリティにおいて独自の脅威分析の負担を軽減し、優先的に取り組むべき指針を与えるものです。つまりは、大企業に比べてセキュリティ対策に資源(人材、資金)を存分に割くことのできない中小企業が、一定のセキュリティ強度を保つために策定されました。
中心に据えられているのは「クラウド提供事業者」ですが、クラウドサービス利用者が提供事業者のセキュリティ対策の妥当性を判断するのにも有効です。同ガイドラインは、「組織・運用編」「物理的・技術的対策編」「IoTサービスへの対応方針編」で構成されおり、細かい内容は次のようになります。
|
組織・運用編 |
① |
情報セキュリティへの組織的取組の基本方針 |
|
② |
情報セキュリティのための組織 |
|
|
③ |
連携クラウド事業者に関する管理 |
|
|
④ |
情報資産の管理 |
|
|
⑤ |
従業員に係る情報セキュリティ |
|
|
⑥ |
情報セキュリティインシデントの管理 |
|
|
⑦ |
コンプライアンス |
|
|
⑧ |
ユーザサポートの責任 |
|
|
物理的・技術的対変 |
① |
アプリケーション、プラットフォーム、サーバ・ストレージ、ネットワークに共通する情報セキュリティ対策 |
|
② |
アプリケーション、プラットフォーム、サーバ・ストレージ |
|
|
③ |
ネットワーク |
|
|
④ |
建物・電源(空調等) |
|
|
⑤ |
その他 |
|
|
IoTサービスへの対応方針編 |
① |
概要 |
|
② |
IoTサービスのリスク |
|
|
③ |
対応策を割り当てるIoTサービスリスクの抽出 |
|
|
④ |
IoTサービスを提供するクラウド事業者が取るべき対応策の導出 |
|
|
⑤ |
リスク対応策 |
それでは以上の項目の中から、クラウドサービスを選ぶ上で重要な指針についてご紹介します。
クラウドサービスを選ぶ際の指針にすべきもの
連携クラウド事業者に関する管理
クラウドサービスの中には、提供事業者が同時にサービスを提供しているケースと、連携クラウド事業者からサービスを受けつつ、エンドユーザーにサービスを提供しているケースがあります。後者の場合、皆さんがチェックすべきセキュリティ項目は提供事業者だけでなく、その連携クラウド事業者にまで視野を広げる必要があるでしょう。
最近では、大企業の内部システムに潜入するために子会社や孫請けなど、セキュリティ対策が不十分な組織から攻めるというサイバー攻撃が増えています。これと同じように、皆さんが利用しているクラウドサービスの提供事業者は安全なセキュリティ対策を実施していても、連携クラウド事業者がそうとは限りません。
情報セキュリティインシデントの管理
クラウド提供事業者のセキュリティ強度は、「サイバー攻撃や不正アクセスをどれだけ未然に防げるか?」だけでは決まりません。それと同じくらい大切なのが、「サイバー攻撃や不正アクセスを受けた後に、どれだけ迅速に対処し、被害を最小限に留められるか?」です。
「セキュリティに100%はない」と言われている現代において、100%未然にインシデントを防げるセキュリティ対策をクラウド提供事業者に求めるのは間違っている、というより危険です。「セキュリティインシデントは必ずいつかは発生するもの」と考え、それを考慮した上でセキュリティ対策を評価することが大切です。
[SMART_CONTENT]
アプリケーション、プラットフォーム、サーバ・ストレージ
この項目では、クラウドサービス自体がどのようなセキュリティ対策を講じているかを確認します。まず参考にするのはサービスの稼働率です。これは、サービス時間帯に占める実稼働時間の割合のことを指します。
たとえば、24時間365日サービスを提供しており、過去1年間にサービスを停止した時間が15時間だとすると、稼働率は99.82%となります。一般的なクラウドサービスは99.5%の稼働率を保証しているので、年間43.8時間のサービス停止は許容範囲ということになります。
この他に着目すべきポイントは、クラウド提供事業者が技術的に提供しているセキュリティ対策についてです。ウイルススキャンの実施、脆弱性評価の実施、定期的なセキュリティ更新プログラムの配布、データセンターにおける物理的なセキュリティ対策など、幅広くどのような対策が講じられているかを確認しましょう。
建物・電源(空調等)
クラウドサービスにおけるセキュリティ対策の心配どころは、サイバー攻撃に対して堅固かどうかだけではなく、災害等に対して有効な対策を講じているかも含まれます。日本は世界的な災害大国であり、地震・台風・火災などあらゆる災害に対応していることもセキュリティ強度の高さに繋がります。
そこで、クラウド提供事業者がサービスを運用しているデータセンターが、耐震性に優れているのか、被災の少ない地域に設置されているのかなどを十分に確認してみましょう。さらに、台風による停電などに備えて予備電源を確保しているかも確認しておくとよいでしょう。
(IoTサービスの)リスク対応策
最近では、クラウドとIoTの連携によりサービスを提供するケースが増えています。IoTはネットワークに接続されたモノから得られるデータを統合・解析することで、ユーザーに有益な情報を提供するための技術です。クラウド提供事業者はIoTサービスを提供するにあたり、新しいセキュリティ対策が必要になりますが、それを利用するユーザーもセキュリティ対策の評価が必要です。
特に注意すべきはIoTデバイスを狙ったウイルス感染であり、IoTが世間に広がるほどにそのリスクは増大していきます。クラウド提供事業者がIoTサービスに対してどれほどのセキュリティ対策を実施しているか?これをしっかりと確認しておきましょう。
クラウドサービスを選ぶにあたり、セキュリティ対策の評価は絶対的に必要です。将来的に発生する可能性のあるリスクに対して、どれくらい堅固な対策を講じているか?を十分に確認した上で、自社にとって最適なクラウドサービスを選びましょう。
[RELATED_POSTS]
