第2回　クラウドサービスの安全・信頼性とは

１．はじめに

　本コラムの「第1回　クラウドサービス入門とASPICについて」では、クラウド利用の様々なメリットを紹介すると共に、インターネットを経由することによる安全性への不安があることを紹介した。
今回は、クラウドサービスの安全・信頼性について深掘りして解説することとする。

２．クラウドサービスのリスクと影響

(1) データ漏えいのリスク

　クラウド事業者の不備や内部不正により、利用企業の機密データが外部に漏れるリスクがある。データ漏えいが発生すると、以下のような深刻な影響が考えられる。

• ①企業の信用失墜
• ②個人情報保護法違反による制裁金の賦課
• ③顧客からの損害賠償請求
• ④重要な営業情報の流出による競争力低下

(2) データ改ざんのリスク

　不正アクセスによりデータが改ざんされるリスクがある。改ざんされたデータを利用すると、以下のような影響が考えられる。

• ①業務に支障が生じる
• ②誤った意思決定をしてしまう
• ③改ざんされた個人情報を利用して不正行為が行われる

(3) サービス停止のリスク

　クラウド事業者側のトラブルにより、サービスが利用できなくなるリスクがある。サービスが停止すると、以下のような影響が考えられる。

• ①業務が止まり、機会損失が発生する
• ②システムダウンにより社会的信用が失墜する
• ③システム復旧に多大な費用がかかる

(4) コンプライアンス違反のリスク

　クラウド事業者の運用がデータ保護関連の法令や規制に違反している場合、利用企業にも責任が及ぶリスクがある。違反が発覚すると、以下のような影響が考えられる。

• ①制裁金の賦課や営業停止命令を受ける
• ②社会的信用が失墜する
• ③顧客や取引先を失う

　このように、クラウドサービスを利用する際には様々なリスクが存在し、サービスの安全性と信頼性を十分に確認する必要がある。

３．安全対策の確認ポイント

　クラウドサービスの安全対策を確認する際の主なポイントは、以下の通りである。

(1) 物理的セキュリティ

• ①データセンターの入退室管理が適切に行われているか
• ②自然災害や火災などに対する防災対策が講じられているか
• ③電源や空調設備などのインフラ設備が冗長化されているか

　これらは、SaaS等を提供する事業者が自社でデータセンターを運営する際のポイントであり、AWS、Azure、Googleクラウドなど主要なプラットフォーマーが提供するIaaS/PaaSを利用している場合は、計画保守や不可抗力の障害時を除き担保されていると考えて良い。

(2) 論理的セキュリティ

• ①アクセス制御が適切に行われているか（認証、権限管理など）
• ②データの暗号化が適切に行われているか
• ③マルウェア対策が適切に講じられているか
• ④システムの脆弱性管理が適切に行われているか

(3) 可用性対策

• ①事業継続計画（BCP）が策定されているか
• ②データのバックアップが適切に取られているか
• ③障害発生時の対応体制が整備されているか
  以下は、AWS、Azure、Googleクラウドなど主要なプラットフォーマーが提供するIaaS/PaaSを利用している場合は、計画保守や不可抗力の障害時を除き担保されていると考えて良い。
• ④サーバーやネットワーク機器が冗長化されているか

(4) 運用管理

• ①従業員への情報セキュリティ教育が適切に行われているか
• ②システムの監視体制が整備されているか
• ③脆弱性対策が適切に講じられているか
• ④インシデント対応体制が整備されているか

(5) コンプライアンス

• ①データ保護関連の法令を遵守した運用がなされているか
• ②プライバシーマーク、ISOなどの認証を取得しているか
• ③監査が定期的に実施されているか

　以上の観点から、クラウドサービス事業者の安全対策を多角的に確認する必要がある。

４．組織的な対応の重要性

　クラウドサービスの利用においては、単に技術的な対策を講じるだけでなく、組織全体で情報セキュリティ対策に取り組む必要がある。

(1) 人的要因へのリスク対策

　クラウドサービスの利用において、利用者側の設定ミスなどの人的要因によるリスクが指摘されている。このため、以下の対策が重要となる。

• ①役職員への情報セキュリティ教育の実施
• ②クラウドサービス利用に関する運用ルールの整備
• ③アクセス権限の適切な管理

(2) インシデント対応体制の構築

　クラウドサービスを利用する際は、インシデント（情報セキュリティ事故）発生時の対応体制を組織として構築しておく必要があり、以下の点に留意する必要がある。

• ①インシデント対応手順の策定
• ②対応チームの編成と役割分担
• ③関係部門との連携体制の構築
• ④定期的な訓練の実施

　インシデントが発生した場合、適切な初期対応を行い、被害の拡大防止と原因究明を迅速に行うことが求められる。

(3) 経営層のリーダーシップ

　情報セキュリティ対策を組織的に推進するためには、経営層のリーダーシップが不可欠であり、以下の役割を果たす必要がある。

• ①情報セキュリティ方針の策定と従業員への周知
• ②情報セキュリティ対策に必要な予算と人員の確保
• ③CISOなどの責任者の任命
• ④対策の実施状況の定期的なレビューと改善指示

　経営層が情報セキュリティの重要性を認識し、主体的に取り組むことで、組織全体の意識が高まり、実効性のある対策が可能になる。

　このように、クラウドサービスの安全・信頼性を確保するには、事業者と利用企業の双方が組織的に取り組む必要がある。技術的な対策に加え、人的対策や経営層の関与が欠かせない。

５．クラウドサービスの選定とASPICの情報開示認定制度の活用

　クラウドサービスを安心して長く使い続けるには、利用するサービスを適切に評価、選定する必要がある。上記のコンプライアンスで述べたとおりプライバシーマークやISOの認証を受けたサービスを選定することも良いが、選択の幅が狭くなってしまうこともある。そこで、自らサービスの安全性をチェックして選定する必要が出てくる。その際に役に立つのが、総務省が定めた「クラウドサービスの安全・信頼性に係る情報開示指針」に基づき、一般社団法人日本クラウド産業協会（ASPIC）が運営する「情報開示認定制度」である。
　この制度では、主に以下の項目についてクラウドサービス事業者が情報開示しているかを審査し、適切に情報開示している事業者を認定している。

• ①事業者の基本情報
• ②サービスの内容と特徴
• ③安全管理措置
• ④運用管理
• ⑤事業継続管理
• ⑥性能と信頼性
• ⑦財務状況
• ⑧法令順守

　利用者はこの認定を参考にすることで、安全で信頼できるクラウドサービスを選定できる。認定事業者一覧や開示情報は、ASPICのウェブサイトで公開されており、この制度を活用することで、事業者の安全対策をある程度把握でき、リスク評価の一助となる。
　図-1に情報開示認定制度の認定マークを示す。

　なお、当コラムの運営者である株式会社TKCも「TKC連結グループソリューション」で情報開示認定制度を取得している。詳細はこちらから確認できる。

６．おわりに

　以上簡単な説明ではあるがご理解いただいたところで、次回のコラムでは具体的に、クラウドサービスの選定における情報開示認定制度について解説することとする。

■参照・出典

• クラウドサービスの安全・信頼性に係る 情報開示指針
• 総務省策定「クラウドサービスの安全・信頼性に係る情報開示指針」とは？SaaS、AIに関する開示項目や関連する認定制度
• 「クラウドサービスの安全・信頼性に係る情報開示指針」における「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針（ASP・SaaS編）」の追加
• 中小企業の情報セキュリティ対策ガイドライン