現在、多くの企業はクラウドサービスを利用し、本来は社内で管理していた情報および情報システムを外部組織であるクラウドサービス事業者のデータセンターに預けています。
そして、情報セキュリティマネジメントの国際標準であるJIS27002では、セキュリティ管理を実践するために組織内のすべての従業員の参加が最低条件として要求されているものの、外部組織の参加は必ずしも要求されておらず「参加が必要な場合もある」とされるにとどまっています。
しかしながら、クラウド提供事業者という外部組織に情報資産の大部分を依拠している企業では、自らの事業を形成する情報資産を間接的にしかコントロールできません。クラウドサービスを利用するということは、情報を取り扱うプロセスやシステム、さらにネットワークといった要素を外部に置くことになりますので、外部組織に依拠せずに情報セキュリティマネジメントを実施することはできません。
そのため、クラウドサービス利用時にはその状況にあった情報セキュリティマネジメントが存在します。本稿では、クラウドサービスを利用する現代ビジネス企業が実施すべきセキュリティ対策について、経済産業省が発表している『クラウドサービス利用のための情報セキュリティマネジメントガイドライン』を参考にしながら、情報セキュリティマネジメントのポイントを解説します。
クラウドサービスのアクセス制御方針
クラウドサービス利用企業が包括的な情報セキュリティマネジメントを実施するにあたり、最も重要と考えられるのが「アクセス制御方針」です。情報セキュリティマネジメントガイドラインでは、クラウドサービスのアクセス制御に関して、他の項目よりも多くに渡って解説していることから、それが重視されていることがうかがえます。
アクセス制御方針の流用可否
まず、クラウドサービス利用企業は既存のアクセス制御方針が、クラウドサービスが提供するアクセス制御機能で実現可能か否かを確認することがポイントになります。情報システム管理者の運用負担を軽減するには、既存のアクセス制御方針をそのまま流用できることが条件になりますが、クラウドサービスは柔軟性が低くクラウド事業者が提供する制御機能に依拠することになるため、事前の確認が必要になります。また、クラウドサービスへのユーザーIDの登録・削除についても、正式な手順に則って実現できるか否かを考慮しましょう。
パスワード管理
そしてクラウドサービスのアクセス制御方針で最も重要なのが「パスワード管理」と「アクセス情報の権限設定」です。
クラウドサービス利用企業は、パスワードの割り当てに関する既存の正式な管理プロセスが、クラウドサービスが提供する機能で実現できるかどうかを確認し、かつクラウド提供事業者があらかじめ設定したパスワード(初期パスワード)を利用開始後に、即座に変更することが望ましいとされています。
クラウドサービスを利用するにあたり、ユーザーごとに設定するパスワードはユニークなものでなくてはいけません。少なくとも、数字と大小の半角英字、それと記号を含む10文字以上のパスワードを設定するようユーザーに要求しましょう。また、生年月日など個人情報にかかわるようなパスワードは特定が容易なため、それを避けるように方針を定めます。
アクセス情報の権限設定
クラウド提供事業者に依拠している情報資産に関しては、情報ごとに重要度を設定して、アクセスできるユーザーを限定するように権限設定を行うのがポイントです。その理由は、ユーザーが重要情報をうっかり漏えいするのを阻止するだけではありません。
第三者によって情報漏えい事件が起きた場合、組織の管理者クラスではなく末端の従業員が利用する端末からネットワークに侵入するケースが多いです。そのことを考慮すると、重要情報へのアクセス権限を限定して、万が一ネットワーク内に侵入されても権限により重要情報の漏えいを阻止するよう計画しなければいけません。
クラウドサービスによってどのようにアクセス情報の権限設定が行えるかは、機能により変わります。従って、クラウド提供事業者からアクセス権限の管理機能についてしっかりと説明を受けた上で、導入すべきクラウドサービスを検討することが情報セキュリティマネジメントのポイントになります。
クラウドサービスのバックアップ方針
時折、「クラウドサービスを利用するとバックアップが不要になる」といった話を耳に挟むことがあります。これはサービス内容に応じては事実ではあるものの、ベストな選択とは言えません。クラウド提供事業者によっては、クラウドサービス利用企業から預かったデータを複数のリージョンやアベイラビリティゾーンに分散管理することがあります。この場合、バックアップは不要と考えられますが、すべてのクラウド提供事業者がそうした対策を実施しているわけではありません。
そのため、クラウドサービス利用企業は自らが利用するクラウドサービスの特性を理解した上で、バックアップの必要性について確認することが重要です。具体的には、以下の事項に沿ってバックアップ機能を確認します。
- クラウドサービスに付帯するバックアップ機能及び復元機能
- クラウドサービス利用者自身が追加・開発するバックアップ機能及び復元機能
- バックアップデータの暗号化(暗号化の必要性を含む)
- バックアップデータのローカルでの保管及び隔地保管
- バックアップデータの保存期間
これらの事項を確認した上で、必要に応じて独自のバックアップ対策を実施する必要もあります。特に高度な情報セキュリティマネジメントが期待できないようなクラウドサービスを利用する場合は、情報資産の消失等をリスクと考えた方が賢明と言えるでしょう。
従業員に対する情報セキュリティ方針
クラウドサービス利用企業では、クラウドサービスの利用にあたり従業員・契約相手・第三者利用者がその責任を理解した上で、求められている役割にふさわしいことを確実に行うとともに、盗難や不正行為のリスクを低減することを心掛けなければいけません。
そのため、クラウドサービス利用企業は組織のすべての従業員・契約相手・第三者利用者を対象にした情報セキュリティ教育及び訓練の規範に、組織が保有する情報システムと同様に、クラウドサービスの情報セキュリティマネジメントに関する事項を加えることが望ましいと考えられています。具体的には、次のような内容を追加しましょう。
- クラウドサービス利用のための方針、基準及び手順などの規定類
- クラウドサービスごとの情報セキュリティリスク及び対策
- クラウドサービスを使用するにあたり考慮すべきシステム及びネットワーク環境におけるリスク
ガイドラインを基に、クラウドサービスの情報セキュリティマネジメントを検討しよう
本稿で解説した情報セキュリティマネジメントは、ごくごく一部です。従って、クラウドサービス利用企業は経済産業省が発表しているガイドラインの隅々にまで目を通し、自組織にとって適切な情報セキュリティマネジメントは何か?を考えていただきたいと思います。
