更新日:2020.07.29
クラウドセキュリティガイドラインとは?
クラウドセキュリティガイドラインは、経済産業省が策定した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の通称です。このガイドラインは、日本工業規格(JIS)のうち、情報セキュリティ管理の分野であるJIS Qをベースとして作成されました。
内容は、クラウドサービスを利用するにあたって気をつけることや、サービス事業者が提供すべき情報が記載されています。従来、日本の企業などは、JIS Qを参照して情報セキュリティ管理を行ってきました。このガイドラインが作成されたことで、企業における情報セキュリティ管理の指針がより明確になったといえます。
事業者がどれほど安全性の高いシステムを構築しても、利用者が「情報を扱う者としての認識」を持たなければ、意味がありません。反対に、利用者がどれだけ慎重に情報を扱っても、事業者が提供するサービスに欠陥があれば、情報の漏洩などにつながる恐れもあります。
このような事態を防ぐためには、利用者と事業者との連携や協力が必要不可欠です。クラウドセキュリティガイドラインは、そのための指針を明確に示しています。
※参考:
クラウドセキュリティガイドラインが策定された背景
クラウドサービスの提供が始まった当初、運用にあたっての明確なルールはないに等しく、国内で多くのインシデント(事件や事故)が発生しました。顧客情報や社外秘とされる情報が流出し、場合によっては大きな事件につながる可能性もありました。クラウドセキュリティガイドラインは、このような状況を改善するべく、2011年4月に初版が策定されました。
その後、多くの企業がクラウドサービスを導入、本格運用していく過程で、国内外で大規模障害が発生しました。情報のグローバル化がもたらしたこの問題に対処するべく、クラウドセキュリティガイドラインも2014年3月に改訂され、世界と足並みをそろえた安全対策の指針が明示されました。
改訂版では、利用者に対して、これまでのインシデントや今後予測されるトラブルの対策が盛り込まれています。また、事業者に対しては、取り組むべきセキュリティ対策の詳細などが追加されました。
「
クラウドセキュリティガイドラインの国際化の流れ
クラウドサービスの認知度が高まるにつれ、海外のクラウドサービスの利用も選択肢のひとつとして検討したり、日本の事業者が海外での事業展開を検討したりするケースも増えてきました。
この流れを受けて、日本は英訳したガイドラインを2010年10月の秋季ベルリン会合に提案し、参加各国とともに内容が検討されました。2015年12月には、日本のクラウドセキュリティガイドラインを原案とした国際規格「ISO/IEC 27017」が策定され、国際標準化が実現したのです。
この策定により、国内外を問わないクラウドサービスの利用が進み、企業のグローバル化を情報セキュリティの面からサポートする流れが生まれました。
【利用形態別】クラウドサービスのセキュリティの注意点
クラウドサービスの形態は、大きく分けてSaaS(サース)、PaaS(パース)、IaaS(イアース)の3つに区別されます。これらを区別する基準は対策の責任範囲で、利用者と事業者の線引きがそれぞれ異なります。
基本的には、もっとも事業者の責任範囲が広いものがSaaS、もっとも利用者の責任範囲が広いものがIaaSと考えてよいでしょう。以下が形態別の責任範囲の基準です。ここでは、3つの形態における注意点を解説します。
| SaaS(サース) | PaaS(パース) | IaaS(イアース) | |
| データ/コンテンツ | 利用者 | 利用者 | 利用者 |
| アプリケーション | 事業者 | 利用者 | 利用者 |
| ミドルウェア | 事業者 | 事業者 | 利用者 |
| OS | 事業者 | 事業者 | 利用者 |
| ハードウェア | 事業者 | 事業者 | 事業者 |
| ネットワーク | 事業者 | 事業者 | 事業者 |
| データセンター | 事業者 | 事業者 | 事業者 |
SaaS(サース)
SaaS利用において、利用者のセキュリティ対策が必要なものは、データやコンテンツといった随時変更や更新をかけていくものです。
代表的なサービス
SaaSの代表的なサービスは、Salesforceやサイボウズ Office、Office Web Appsなどが挙げられます。ソフトウェアの管理を事業者が行っているため、利用者はインターネット環境さえあればどこでもデータにアクセスできることが特徴です。テレワークにおいても有用であり、働き方そのものを変える形態として注目されています。
具体的な対策例
・ログイン認証を強化する
SaaSは場所やデバイスを問わずアクセスできるため、IDとパスワードを入力すればログインできるという状態では脆弱性が高くなります。二段階認証などを導入し、ログイン認証を強化しましょう。
・データの誤送信を防ぐ
SaaSは、専門的な知識がなくても操作が容易である一方、ひとつのミスが重大な問題を引き起こしてしまうこともあります。データの取り扱いにおいては、送信の是非を問うポップアップなどを活用して、誤送信を防ぎましょう。
・データの持ち出しを防ぐ
どこからでもアクセスできるからといって、故意にデータを持ち出すことは言語道断です。利用者のモラルが欠如している行為に関しては、強固な措置を取りましょう。
PaaS(パース)
PaaSは、データやコンテンツに加えてアプリケーションも利用者側でセキュリティ対策を行う範囲となります。そのため、システム開発などの分野で多用されています。
代表的なサービス
PaaSの代表的なサービスは、Google App EngineやAmazon Web Services、IBM Cloudなどが挙げられます。OSやハードウェアといった開発に必要なプラットフォームは事業者が管理しており、そこを経由してサービスを利用する仕組みです。
そのため、プラットフォームの管理に多くの費用や労力を必要とせず、比較的安価かつ短期間でシステム開発ができるという特徴があります。
具体的な対策例
・定期的に診断を行う
アプリケーションは利用者が責任を持って安全性を高めておかなければなりません。SaaSで必要な対策に加えて、定期的なウイルス診断や脆弱性診断も行うようにしましょう。
・問題発生時の対策を明確にする
診断で問題が発覚した場合は、素早くかつ正確な対策が求められます。ただ診断を行うのではなく、あらかじめ診断結果に応じた対策を具体的に打ち出しておくことが大切です。
・事業者と利用者の責任範囲を明確にしておく
PaaSの責任範囲はSaaSとIaaSの中間ともいわれ、事業者と利用者の間での認識に違いが出ることが多くあります。問題発生時に「先方の責任だと思っていた」ということのないよう、サービス品質保証を締結して、責任範囲を明確にしておきましょう。
IaaS(イアース)
IaaSは利用者の責任範囲が広く、事業者の責任範囲はハードウェアとネットワーク、データセンターに限られます。そのため、運用にあたっては専門的な知識を持つ技術者が必要です。
代表的なサービス
IaaSの代表的なサービスとしては、Amazon Elastic Compute CloudやGoogle Compute Engineなどが挙げられます。また、Dropboxなどのオンラインストレージは保管庫としての役割を持つものであり、運用方法は利用者に任せられているため、IaaSとする見方もあります。
自社にサーバーを設置して管理するオンプレミスに対して、IaaSはサーバーなどのITインフラをクラウドサービスとして利用し、システム管理は自社で行うものと考えてよいでしょう。
具体的な対策例
・随時、脆弱性を修正する
OSやミドルウェアは、更新を行わずにいると脆弱性が高くなります。随時更新して修正を行い、常に最新の状態を保ちましょう。
・社員教育を徹底する
自社の管理範囲が広いIaaSは、設定ミスなどによる問題が発生しやすいことを利用者一人ひとりが認識する必要があります。定期的に講習会などを実施して、利用者全員がIaaSの特性を理解できる環境を整えましょう。
・専門的な知識を持つスタッフを配置する
IaaSのセキュリティ対策は、運用に関わる全ての範囲に及びます。運用にあたっては、専門的な知識を持つ技術者を配置することが望ましいでしょう。
事業者の責任範囲にもアセスメントは必要
ここまでは利用者の責任範囲について必要なセキュリティ対策を述べてきましたが、事業者の責任範囲に対するアセスメントも重要です。事業者はチェックリストを提示し、自社のクラウドサービスのセキュリティ対策が優れていることをアプローチします。しかし、そのチェックリストもよくある2つの誤認識があると万全ではありません。詳しく説明します。
1つ目は、管理コンソールに関するセキュリティ機能の誤認識です。本来、管理コンソールは利用者が容易にサービスを操作するためのツールであり、管理も利用者に委ねられています。しかし、利用者がその管理を事業者の責任であると誤認識しているケースが少なくありません。管理コンソールの操作は、サービスの仕組みを理解している担当者のみに限定することが望ましいでしょう。
2つ目は、クラウドで提供されるセキュリティ機能の誤認識です。本来、セキュリティ機能はオプションとして実装されますが、クラウドサービスによってはオプションそのものが提供されていない場合もあります。「事業者がセキュリティ機能を提供してくれているから問題ない」という誤認識を防ぐためには、専門的な知識を持つ第三者の意見を仰ぐことが有効です。
クラウドサービス利用に懸念事項がある場合は、ガイドラインを参照してリスク対策に役立てるよう努めましょう。
まとめ
クラウドサービスにはSaaSとPaaS、IaaSの3つの形態があり、いずれを利用する場合でもセキュリティ対策はきちんと行う必要があります。自社でクラウドサービスを運用している場合は、改めて特徴や安全性、管理者との間に誤認識がないかを確認しましょう。
今後クラウドサービスの利用を検討している場合は、どの形態やサービスが自社にマッチしているかをしっかりと見極めることが大切です。サービスを選ぶ際は、クラウドセキュリティガイドラインがひとつの指標になります。
ガイドラインの文言がわかりにくいと感じる場合は、活用ブックを参照することも有効です。入念に調べて、自社に最適なサービスの導入を検討しましょう。
|
RICOH Chatbot Service |
|---|
|
紹介資料 |
|---|