今や私たちの生活やビジネスに欠かせないものとなったクラウドサービス。しかし、セキュリティ面で懸念を抱いている企業も多いのではないでしょうか。Microsoftを含むクラウド事業者では日々高度なセキュリティを講じており一昔前のセキュリティへの不安は払拭されている現実があります。今回は、経済産業省がクラウドサービスを利用する上での指標として「クラウドセキュリティガイドライン」を公開しています。企業や組織は、クラウドサービスを安全に利用するために、このガイドラインを活用することをお勧めいたします。
クラウドサービスに潜む脆弱性
利便性やコストパフォーマンスの高さから、クラウドサービスの市場規模は急速に拡大しています。しかしサービス開始当初より懸念されてきたのが、情報セキュリティの問題です。クラウドサービスに関する意識調査において「セキュリティ・情報漏えいに対する不安」は常に上位に挙がっており、セキュリティ面での不安からクラウドへの移行に踏み切れないというユーザーも少なくありません。
クラウドサービスを安全に利用するためには、いくつか注意すべき点があります。その指標となるのが、経済産業省が公表した「クラウドセキュリティガイドライン」です。
クラウドセキュリティガイドラインとは
経済産業省は、私たちが安心してクラウドサービスを利用するための指標として「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公表しました。このガイドラインは通称「クラウドセキュリティガイドライン」と呼ばれています。初版は2011年4月に公表されましたが、国内外におけるクラウドサービスの利用状況の変化を受けて、2014年3月に改訂が行われました。
クラウドセキュリティガイドラインには、クラウドサービスにおける様々な懸念事項を払拭し、クラウドを利用するためにユーザが気をつけるべきこと、そしてクラウドサービスを提供する事業者(以下、事業者と言う)はどのような情報を提供すべきなのかが記載されています。
日本国内の企業や団体の多くが、セキュリティ管理策の選択においてJIS Q 27002(情報セキュリティ管理策の実践のための規範)を参照しています。このような状況を踏まえて、クラウドセキュリティガイドラインもJIS Q 27002をベースに作成されました。ガイドライン上にあるそれぞれの項目が、JIS Q 27002における管理策の構造のままに掲載されています。
クラウドサービスを利用する上で起こりうるリスクを回避するためには、事業者とユーザとが互いに連携して情報セキュリティ対策を実施し、安全・安心な利用環境を保証するための枠組みを構築することが必要です。両者が協力して様々なセキュリティリスクに対処できるようにすることが、クラウドセキュリティガイドラインの目的なのです。
クラウドセキュリティガイドライン策定の背景
クラウドの黎明期とも言うべき2008年以降、国内では多くのインシデントが発生しており、クラウドサービスの利用に対してルールが必要となりました。こうして、2011年4月にクラウドセキュリティガイドライン(初版)が策定されたのです。
そしてクラウドサービスが本格的に運用されていく過程で、国内外のクラウドサービスにおいて大規模な障害や情報漏えいが発生し、リスクが顕在化した事例が多く見受けられるようになりました。そのためクラウドセキュリティに関する基準策定や国際標準策定が世界的に推進されるようになったのです。こうした状況を踏まえ、2014年3月に新たなクラウドセキュリティガイドラインが公表されました。
改訂版のクラウドセキュリティガイドラインでは、それまでに発生したクラウドサービスに関する様々なインシデントや今後発生しうるトラブルなどが検討され、新たな対策が盛り込まれました。また、事業者が取り組むべきセキュリティ対策もさらに検討され、追加されています。
ガイドラインの改訂と同時に「クラウドセキュリティガイドライン活用ガイドブック」も発行されています。これは、抽象的な条文だけでなく具体的な対策と事例を知りたいというユーザの要望に応えて作成されたものです。クラウドサービスの提供や利用に関する技術的・運用的な脆弱性について解説した上で、それぞれのリスクに関するクラウドセキュリティガイドラインへの参照箇所が明確にされています。
クラウドセキュリティガイドラインの国際標準化
ユーザが国内だけでなく海外のクラウドサービスも安心して利用できるよう、また事業者も海外でサービスを提供できるように、クラウドセキュリティガイドラインの国際標準化が進められました。日本はガイドラインを国際標準化すべく、文書を英訳し、2010年10月に開催されたJTC1/SC27(情報セキュリティに関する国際標準化を担当する副委員会)の秋季ベルリン会合に提案しました。この提案は参加各国に受け入れられ、米国をはじめとする各国の意見を盛り込みながら内容が検討されました。
そして2015年12月、クラウドサービスの提供と利用のための情報セキュリティ管理策を規定した国際的なガイドライン規格として「ISO/IEC 27017」が策定されました。日本のクラウドセキュリティガイドラインを原案として、クラウドセキュリティの国際規格が誕生したのです。
Microsoft Azureとは何か?入門から応用まで徹底解説
クラウドサービスにおけるセキュリティ対策とは
クラウドにはクラウド特有のセキュリティリスクがあるため、ユーザと事業者の双方が適切な対策を行う必要があります。では具体的に、どのような点に注意しなければならないのでしょうか。
技術的なリスク
企業や組織自らがクラウド環境を構築し、それを自社内で利用する「プライベートクラウド」の場合、主に技術的なリスクについて検討する必要があります。具体的にはクラウドコンピューティングの基盤となるネットワークや仮想化環境、分散処理などが対象となります。
クラウドコンピューティングでは、分散処理技術や仮想化を利用して、コンピュータ環境の重要な拡張を行えるようになっています。ユーザが好きなときに好きなだけリソースを利用できるよう、十分なコンピュータ環境を用意しています。こうした技術はすべての事業者で採用されているわけではありませんが、ソフトウェアに起因する事故を防止するという意味ではこれらに配慮する必要があるでしょう。クラウドセキュリティガイドラインには、技術面に関する情報セキュリティマネジメントも記載されています。これらを参照してリスク検討を行う必要があるでしょう。
サービス利用時のリスク
事業者が提供するサービスを利用する「パブリッククラウド」の場合、ユーザが技術的な問題を意識する必要はありません。技術的なリスクは、すでに事業者側で適切な対策がとられているという前提があるからです。とは言え、事業者側の情報セキュリティ対策が適切であるかどうかの判断はユーザ自身に委ねられます。事業者が行っているセキュリティ対策を理解し、脆弱性や脅威も十分に把握した上で利用しなければなりません。
ユーザと事業者の間に情報セキュリティポリシーの齟齬があると、不正なデータ取得によるウィルス感染、適切なアクセス権の設定不能、ライフサイクル管理が困難になるなどのリスクが発生します。クラウドサービスでは、大切な情報の管理を外注することになります。システムログなど、情報セキュリティマネジメントシステムの運用において必要な情報が入手しづらいことも理解した上で、セキュリティポリシーの実施が可能か、そして目的を達成することができるかなども再度検討すべきでしょう。
クラウドセキュリティガイドラインは、ユーザと事業者が信頼関係を深めてセキュリティリスクに対処することを目的としています。クラウドサービスを利用する上で懸念事項がある場合はガイドラインを参照し、リスク対策として役立てましょう。
