INFORMATION 6-8 中小企業のためのクラウドサービス安全利用手引き
CHECK クラウドサービスとは
インターネットを通じてソフトウェアやハードウェアを利用する情報システムサービスをクラウドサービスと呼びます。クラウドサービスの利用は、情報システムの構築や管理といった手間が省けるなど、自社での所有・運用と比較して業務の効率化やコストダウンを図れるといったメリットがあります。
CHECK 利用前の確認
クラウドサービスの利用を検討する際は、情報セキュリティ対策の一部がサービス提供事業者に依存してしまうことや、クラウドサービス固有のリスクがある点についても考慮する必要があります。『クラウドサービス安全利用の手引き』(情報処理推進機構<IPA>)では、サービスを選択するときのポイントについて事例をあげて解説しています。
●中小企業のためのクラウドサービス安全利用の手引き
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000072150.pdf
CHECK パブリッククラウドとプライベートクラウド
クラウドには大きく「パブリッククラウド」と「プライベートクラウド」があり、前者は、企業・個人を問わず必要なときにサーバーやサービス活用が可能です。後者は、企業・組織が専用環境を構築して社内各部署などにサービス提供する形を指します。しかし、各々メリット・デメリットがあり、両者を統合して利用する「ハイブリッドクラウド」の活用が増えつつあります。
CHECK クラウドサービス利用時の確認事項
●選択するときのポイント
| 1 | どの業務で利用するか明確にする | どの業務クラウドサービスで行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましたか? |
|---|---|---|
| 2 | クラウドサービスの種類を選ぶ | 業務に適したクラウドサービスを選定し、どのようなメリットがあるか確認しましたか? |
| 3 | 取り扱う情報の重要度を確認する | クラウドサービスで取り扱う情報が漏えい、改ざん、消失したり、サービスが停止したりした場合の影響を確認しましたか? |
| 4 | セキュリティのルールと矛盾しないようにする | 自社のルールとクラウドサービス活用との間に矛盾や不一致が生じませんか? |
| 5 | クラウド事業者の信頼性を確認する | クラウドサービスを提供する事業者は信頼できる事業者ですか? |
| 6 | クラウドサービスの安全・信頼性を確認する | サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証は示されていますか? |
●運用するときのポイント
| 7 | 管理担当者を決める | クラウドサービスの特性を理解した管理担当者を社内に確保していますか? |
|---|---|---|
| 8 | 利用者の範囲を決める | クラウドサービスを適切な利用者のみが利用可能となるように管理できていますか? |
| 9 | 利用者の認証を厳格に行う | パスワードなどの認証機能について適切に設定・管理は実施できていますか?(共有しない、複雑にするなど) |
| 10 | バックアップに責任を持つ | サービス停止やデータの消失・改ざんなどに備えて、重要情報を手元に確保して必要なときに使えるようにしていますか? |
●セキュリティ管理のポイント
| 11 | 付帯するセキュリティ対策を確認する | サービスに付帯するセキュリティ対策が具体的に公開されていますか? |
|---|---|---|
| 12 | 利用者サポートの体制を確認する | サービスの使い方がわからないときの支援(ヘルプデスクやFAQ)は提供されていますか? |
| 13 | 利用終了時のデータを確保する | サービスの利用が終了したときの、データの取り扱い条件について確認しましたか? |
| 14 | 適用法令や契約条件を確認する | 個人情報保護などを想定し、一般的契約条件の各項目について確認しましたか? |
| 15 | データ保存先の地理的所在地を確認する | データがどの国や地域に設置されたサーバーに保存されているか確認しましたか? |
No15 クラウドサービスのサーバーは日本国外に設定されている場合もありますが、扱うデータによってサーバーの設置国・地域の法規制が適用されることがあります。No 6、11、12、13はスマートSMEサポーター(認定情報処理支援機関)開示情報で確認できます。
出典:IPA「中小企業のためのクラウドサービス安全利用の手引き」より