クラウドサービスの普及が進む中、大規模なシステム障害や、情報漏えいなどのリスクも目立つようになっています。こういった情勢を踏まえ、国もクラウド利用に関する各種のガイドラインを作成し公開しています。この記事ではクラウドを導入する場合に役立つ公的なガイドラインと、利用のメリットや注意点について解説します。
クラウド導入ガイドラインとは
クラウドサービスを利用した業務システムの構築が普及したことに伴い、国など公的機関はサービスを提供するベンダーと、サービスのユーザーとなる企業の双方に向け各種のガイドラインを公開しています。今回はユーザー企業向けガイドラインの内容について詳しく見ていきましょう。
クラウドサービス利用のための情報セキュリティマネジメントガイドライン(経済産業省)
まず、公的なガイドラインとして、経済産業省が公開する「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」があります。
東日本大震災を機に非常時での事業継続への意識が高まり、緊急事態対策の一環としてクラウドへの期待が高まったことなどもあり、2011年に初版が公開されました。その後、2013年にセキュリティに関する要求事項が追加され2014年3月に公表されています。
このガイドラインでは、企業や自治体などの組織がクラウドコンピューティングを全面的に利用する状態を想定して、クラウドサービスを利用する場合に知っておくべき知識や情報について記載し、起こりうるトラブルとその対応策について説明しています。
また、ガイドブックに併せて、実際に発生した事故などの具体的な事例とその対策を解説した「クラウドセキュリティガイドライン活用ガイドブック2013年度版」も公表し、啓発に努めています。
中小企業のためのクラウドサービス安全利用の手引き(IPA)
国のICT戦略を支える目的で設立された独立行政法人情報処理推進機構(IPA)も「中小企業の情報セキュリティ対策ガイドライン」を公表しており、最新第3版が2019年3月に公開されています。
こちらは個人事業主や小規模事業者を含む中小企業のユーザーを想定しており、経営者が実行すべき指針や、社内で行う対策の手順や手法が簡潔にまとめられています。
このガイドラインは手順書としての分かりやすさが強く意識されており、本編のほかに自社の情報セキュリティ状況を点数化してチェックできる診断シートや、社内配布用マニュアルに使えるテンプレートなどがセットになっています。
最新第3版では新たな付録として「中小企業のためのクラウドサービス安全利用の手引き」が追加され、より分かりやすい内容になりました。この手引きにはクラウド事業者を選定するときなどに使えるチェックシートや、豊富なカラーイラストを交えた詳しい解説が掲載されています。
クラウドガイドラインで定められているのは主に3点
各種のガイドラインのうち、「中小企業のためのクラウドサービス安全利用の手引き」には事業者の選定方法などについて具体的な解説が掲載されています。この手引きで紹介されている具体的なチェックポイントについて一つ一つ見ていきましょう。
クラウドサービス選択時のポイント
最初に、利用するサービスの選択で注意すべき6つのポイントが紹介されています。
【1】どの業務で利用するかを明確にする
自社で扱うデータ・業務のうち、クラウドへ移行する部分を決め、業務の切り分けを行います。例えば、今まで自社内のファイルサーバーに保存・管理していた営業用データをクラウド上で保管するなど、具体的な内容を挙げてどの程度まで移行するのかを明確にします。
【2】クラウドサービスの種類を選ぶ
業務に適したクラウドサービスを選び、そのサービスのメリットやデメリットを検討します。
営業担当者の負担を減らす目的でリモート環境から登録できる経費精算システムを導入すれば、労働時間の短縮につながる…などの手順で内容を詳しく洗い出します。
【3】取り扱う情報の重要度を確認する
クラウドに移行する予定のデータが漏えいしたり、破損したりした場合などに業務に与える影響を事前に確認します。クラウドに保存した顧客情報が漏えいした場合、顧客への謝罪や補償で多大なコストがかかる…などの形で想定される事態をリストアップしていきます。
【4】セキュリティのルールと矛盾しないようにする
クラウドサービスを活用にあたって、自社の運用ルールと矛盾や不一致が発生しないか確認します。例えば、個人情報を社外に持ち出すことが禁止されている場合、住所や連絡先などのデータをクラウドに保存すると運用ルールに矛盾が生じることになります。この場合、現状に即して既存のルールを調整するなどの対応が必要になるでしょう。
【5】クラウド事業者の信頼性を確認する
導入を検討しているベンダーが信頼できる事業者かどうかを確認します。企業の信頼性を確かめるには、ベンダー企業が公表している財務情報を確認したり、利用者数などの実績を問い合わせたり、認証の取得状況を確認するなどの方法があります。
【6】クラウドサービスの安全・信頼性を確認する
導入を検討しているクラウドサービスの稼働率や障害が発生する頻度などサービス全体の品質について確認します。これらについてはサービスの利用規約や、事業者が公表している品質保証基準などを調べることで確認します。
クラウドサービス運用時のポイント
次に紹介されているのは運用時に気を付けたい4つのポイントです。
【1】管理担当者を決める
クラウドの特性を理解し、機器の操作や他のメンバーのサポートができる管理担当者を確保し決定します。例えば、顧客管理システムの入力内容については営業部長が担当し、技術面のサポートについてはシステム管理者が担当するなど、担当者とその責任の範囲を明確にしておきます。
【2】利用者の範囲を決める
システムを利用する各ユーザーの権限を設定し、利用範囲を明確にします。アカウントを作成する対象を特定の部署のメンバーだけに限定したり、入力内容を承認したりする権限は上司に付与するなどの措置が考えられます。
【3】利用者の認証を厳格に行う
適切なユーザーのみが利用できるように、パスワードなど各種の認証を設定し管理します。
不正ログインを防ぐためには、IDやパスワードの使い回しや共有は厳禁です。また、2段階認証などを取り入れて、パスワードを不正利用されてもログインできない仕組みを構築することが重要です。
【4】バックアップに責任を持つ
データが破損、消失するリスクを想定して、特に重要な情報のバックアップを確保し、必要な時に復旧できるようにしておきます。
特に消失の影響が甚大になるデータに関しては、クラウドのバックアップ機能を利用したり、1時間前、1日前、1週間前などタイミングをずらして複数のバックアップを残したりしておくなどの対策があります。
セキュリティ管理のポイント
最後に、セキュリティ管理に関する5つのポイントが紹介されています。
【1】付帯するセキュリティ対策を確認する
利用するクラウドサービスでセキュリティ対策が行われているか、対策の内容が公開されているかを確認します。具体的には、通信が暗号化されているか、ウイルス対策はどうか、セキュリティパッチ対応状況が公開されているかどうかなどの内容が考えられます。
【2】利用者サポートの体制を確認する
社内のシステム担当者が不在の場合でも利用できるサポートの有無や、サポート窓口への連絡方法、サポートで発生する料金などを確認します。
外資系の企業が提供するサービスの場合、日本語の問い合わせに対応していないケースもあります。事前に確認しておくと後で慌てずに済みます。
【3】利用終了時のデータを確保する
サービスの利用を終了したり、他のクラウドサービスに乗り換えたりする場合に、クラウドに置かれたデータの取り扱いについて確認します。
サービス終了時に全データを互換性のあるフォーマットでダウンロード可能かどうかは最重要確認事項の一つです。また、利用終了後にシステムから完全にデータが消去され、再利用されないことが保証されているかも確認が必要です。
【4】適用法令や契約条件を確認する
個人情報保護法などを順守した運用になっているかを確認します。ユーザーが入力したデータにベンダーがアクセスする場合の条件や、ハードウェアの保守をベンダーが外部に委託している場合、再委託先の責任範囲について明記されているかどうかなどが確認項目です。
【5】データ保存先の地理的所在地を確認する
クラウドサービスで利用するサーバーが物理的にどの国や地域に設置されているかを事前に確認しておきます。海外から受注し海外から直送してもらうECサイトを運用する場合など、対象となる国や地域の法律を遵守する必要があるケースもあります。
クラウド導入ガイドラインのメリット
では、各種のガイドラインを利用するメリットにはどのようなものがあるのでしょうか。
社内保有の少ないクラウド導入ナレッジをカバーできる
中小企業など規模が大きくない組織では、クラウド導入に関する社内の知見やノウハウが不足している場合もあります。このような場合でも、クラウド導入時の確認事項をカバーするチェック項目リストが含まれたガイドラインを利用することで、社内のノウハウ不足をカバーすることができます。
起こり得るリスクを包括的にカバーできる
これらのガイドラインは実際に起こったあらゆる事例を収集し、それらに客観的な立場から検証を加え、得られた知見や実際にあった対策例などを盛り込んだ内容になっています。ですから、ガイドラインを読み込んで入念にチェックすることで、事前に想定されるリスクに対して対策が立てやすくなるという利点があります。
クラウド導入ガイドラインを活用して円滑なクラウド移行を実現
公的機関も各種ガイドラインの形で、クラウドサービスを活用するために導入やセキュリティ面で必要な情報を提供しています。
クラウドサービスの導入を考えていながら、知識が追いつかず着手できていない場合でも、ガイドラインに沿って進めることで、スムーズな導入と運用を行うことが可能になります。ガイドラインを十二分に活用してクラウドサービスを導入し、事業の発展につなげましょう。
まとめ
最近のクラウドサービスには事業の発展をサポートする各種の優れた機能が豊富に備わっており、システム構築において欠かせないものとなりつつあります。ガイドラインを活用して安全性と利便性のバランスを取った適切なクラウド利用に努め、事業のさらなる発展につなげていきましょう。
