クラウドサービスで重要な情報セキュリティ対策とは?認証制度と合わせて解説

 2021.02.24  デジタルトランスフォーメーションチャンネル

クラウドサービスを導入する例は増えています。従来のサービス形態に比べて便利ですし、DXデジタルトランスフォーメーション)の推進にも寄与するからです。

しかし、同時に情報セキュリティ対策を怠ってはいけません。ここでは管理基準や各種認証制度について紹介しますので、これらに適合する形で対策を取るようにしましょう。

クラウドサービスで重要な情報セキュリティ対策とは?認証制度と合わせて解説

クラウドの利用時に懸念されるセキュリティリスクとは

多くのクラウドサービスが展開されるようになり、コストパフォーマンスの良さ、管理のしやすさ等から利用機会も増えています。ただその場合、顧客情報や社内の機密情報などもインターネットを介して取り扱うことになるため、さまざまなセキュリティリスクも伴います。
必ずしもクラウドサービスのリスクが高いということではなく、従来とは異なる性質のリスクがあると理解するのが大切だということです。

たとえばちょっとした操作ミスや設定ミスで情報漏洩してしまうことがありますし、ハッキング等の悪意ある攻撃を受けて個人情報が流出することもあります。実際、大手企業でもこのような被害に遭っており、今後さらに情報セキュリティに対する意識を高め、適切な対策を取ることが重要になっているといえます。

しかも、こうしたリスクが顕在化するという問題は多方面に影響します。企業が直接的な損失を被るだけにとどまらず、信用を失うこともあるのです。取引先や世間一般からも、適切な管理がなされていなかったと評価されてしまい、その時点における損害だけでなく将来的なダメージも負ってしまいます。実際のところ、その企業に大きな過失がなかったとしても、そう思われてしまうおそれがあるのです。

クラウドサービスに関していえば特に、不正ログインのリスクは考慮しなければなりません。

クラウドサービスで重視される情報セキュリティ対策

インターネットを介した利用になるため、より多くの攻撃者から攻撃を受ける可能性が出てきます。そのリスクを把握した上で適切な対策を取らなくてはなりません。基本的な対策事項としては、「アクセスログの管理」「通信の暗号化」「データのバックアップ」「OSやソフトウェア、アプリの脆弱性判定」などが挙げられます。

また、より強固にデータを守るためには各種情報に対する重みづけを行い、アクセス権限を仕切ることも大切です。ISO27001(情報セキュリティマネジメントシステム)でも情報資産台帳の作成は重要とされています。データに対し機密性・可用性・完全性の3点からリスク評価をするといいでしょう。その上で、社内からであれば誰でもアクセスできるという状況を避け、一定の範囲に絞って権限を付与するようにすべきです。

そして、サービスそのものが高いセキュリティシステムを備えていることも当然重要ですし、その上で動作するアプリの脆弱性にも着目しなければなりません。状況に応じて業者に依頼し、脆弱性調査・ペネトレーションテストを行い実証するようにしましょう。

なお、リスク対策において最も基本的かつ重要なのはログイン情報の取扱いです。「連続入力の制限」「ワンタイムパスワードの利用」「2段階認証の利用」といった簡単な対策を行うだけで防げるものも多いため、まずはこうした設定について検討しましょう。

クラウドサービスの安全性を高めるセキュリティ認証制度・基準

安全な運用を実現するため、具体的にどのような対策をするべきか、悩むこともあるでしょう。安全な運用のためのクラウドセキュリティ基準や、そのレベルの確認および安全性を対外的にアピールするのにも役立つ認証制度などがいくつかあります。以下でこれらを紹介しますので、本格的に対策に取り組む際の参考にしてください。

経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」

経済産業省が、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公表しています。サービス利用における、アクセス制御の方針やバックアップ体制の基準、組織内における情報セキュリティの方針などが示されています。

企業のクラウドサービス利用において、マネジメント面にも配慮した、比較的対象領域が広いものとなっています。具体的対策を検討する場合、ここで示されている内容を参考にまずは打ち立ててみるといいでしょう。

特に、事業の基礎となる情報資産の多くをクラウドに委ねている組織への適用を意識して作られています。今後本格的にクラウド化に取り組むのであれば一度確認しておくべきです。
なお、当ガイドラインは改訂もなされており、より現状に即したものへと修正が行われています。クラウドサービス提供における情報セキュリティ対策ガイドラインに、「IoTサービスを提供する際のリスクに対する対応⽅針」が追記されています。

さらに、企業からの要望に応え、活用ガイドブックも新たに作られています。これはリスクに対するより実践的な内容を解説し、該当するクラウドセキュリティガイドラインとの紐付けもなされています。

JASA「クラウド情報セキュリティ管理基準」

クラウド情報セキュリティ管理基準は、JASA(特定非営利活動法人日本セキュリティ監査協会)の下部組織が進める制度です。セキュリティ上、事業者が行うべき基本的なマネジメントの要件を定めるとともに、当該事業者がその内容に順守した運用を行っているかどうか監査する仕組みを構築しています。これにより、安全性が確保されていることを利用者に明確に示すことが可能となります。

また、クラウド監査基準に基づく安全性監査のため、「クラウド情報セキュリティ監査制度」も存在します。この制度では、定められた要件を満たすことでCSマークというものが付与され、利用者に対するアピールとして使えるようになります。逆にいうと、サービスを利用するユーザー側は、事業者のWebサイト等を訪問し、このマークの付与がなされているかどうか確認することで評価できます。付与されていれば一定以上の信頼を置けるでしょう。

当該制度の特徴は、事業者単位で認定するのではなく、サービス単位での認定だという点にもあります。ユーザーはより細かく品質の把握ができ、最適な判断が下せます。

情報セキュリティ管理基準の詳細に関しては、リスク要因がセキュリティ要件/リスクカテゴリー別に多数挙げられているため、これをチェックリストのように利用するのもいいでしょう。事業者・ユーザーともに、どの点が安全であると評価されているのか把握できます。

JIPDEC「ISMSクラウドセキュリティ認証」

ISMSクラウドセキュリティ認証は、JIPDEC(一般財団法人日本情報経済社会推進協会)が運営する認証制度です。クラウドサービスに関するセキュリティ規格として、リスク管理や内部監査体制の構築ができている事業者が認証されます。

これは、ISMS(JIS Q 27001)の認証に加え、クラウドサービス固有の管理策(ISO/IEC 27017)が適切に導入されているかどうかを認証するものです。こちらは組織に対する認証となるため、前項の制度とは異なる特徴を有します。また、サービスを提供する事業者のみならず、これを利用する事業者も当該認証制度の対象です。

サービスを提供する事業者は、付加価値を付けられますし、信頼性を向上させられるというメリットも得られます。利用事業者も、セキュリティレベルが向上し、インシデント対策の効率化が図れるなどのメリットが得られるでしょう。

まとめ

クラウドサービスを利用する上では、不正ログインや情報漏洩の問題が起こらないよう、各種対策を取ることが大切です。また、安全なサービスを選択して導入することも大事です。

具体的なセキュリティ対策やサービスの安全性判断においては、上記認証制度や基準等を参考にするといいでしょう。

CTA

RELATED POST関連記事


RECENT POST「業種共通」の最新記事


業種共通

PHR(パーソナルヘルスレコード)とは?概要やメリット、課題や今後の展望を解説

業種共通

厚労省の「医療情報システムの安全管理に関するガイドライン」とは?内容を解説

業種共通

PHR活用の課題を解消するPHR POCテンプレートとは?

業種共通

フィールドサービスの「デジタル変革」を実現するために必要な要素とは?

クラウドサービスで重要な情報セキュリティ対策とは?認証制度と合わせて解説

RANKING人気資料ランキング

RECENT POST 最新記事

RANKING人気記事ランキング

サイト掲載へのお問い合わせ