クラウドサービス安全利用には理解必須!情報セキュリティマネジメントガイドラインとは?

クラウドサービス安全利用には理解必須!情報セキュリティマネジメントガイドラインとは?

エンジニアブログ

投稿日:2021/02/14 | 最終更新日:2021/09/13

現在、多くの企業がクラウドサービスを利用しています。クラウドには多くのメリットが存在し、事業拡大のためにはクラウドサービスの活用が重要なポイントになります。

その一方で、クラウドは社外にデータを預ける運用形態のため、セキュリティ対策を万全にしておく必要があります。万が一、データ消失や情報漏洩が発生した場合、もはや取り返しがつきません。

企業がクラウドサービスを利用する際に実施すべきセキュリティ対策について、経済産業省は「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を発表しています。本記事では、ガイドラインの内容をベースとして、情報セキュリティマネジメントのポイントを解説します。

経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」とは?

経済産業省は2011年4月1日に「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公表しました。

クラウドサービスが普及する中、国内外のクラウドサービス利用における障害発生や情報漏洩が顕在化してきたことに加えて、東日本大震災を背景として、事業継続に対する意識がさらに高まりました。

このような背景から、経済産業省はクラウドサービスの利用に関する注意事項などを「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」に取りまとめました。

同ガイドラインでは、情報セキュリティマネジメントのベストプラクティスをまとめた国際規格( ISO / IEC 27002:2005)を参照し、情報セキュリティを確保するために「クラウド利用者が実践すべき事項」と「クラウド事業者に対して要求すべき事項」がまとめられています。

また、企業からの要望の声により、新たに「活用ガイドブック」も追加で作成されました。同ガイドブックでは、クラウドサービス利用におけるリスクに関する説明、および、該当するセキュリティガイドラインの紐付けが行われています。

これらのガイドラインやガイドブックは、今もなお企業がクラウドサービスを導入する際の基本指針となっています。次章以降はガイドラインの中身に触れながら、クラウドサービス利用において重要なポイントを順番に解説します。

クラウドサービス利用におけるアクセス制御の方針

クラウドサービスを利用する上で最重要と言えるものが「アクセス制御の方針」です。

情報セキュリティマネジメントガイドラインにおいて、アクセス制御に関する記述は他の項目よりも多いボリュームで説明されており、その重要性を伺うことができます。

アクセス制御方針の流用可否

クラウドサービスの利用を検討する際、「既存のアクセス制御の方針がクラウドサービスの制御機能で実現可能か」を必ず確認してください。

既存方針をそのまま使うことができれば、管理者の負荷を軽減することができますが、アクセス制御の機能は利用するクラウドサービスごとに異なるため、事前にチェックしておく必要があります。

パスワード管理

セキュリティを高めるためには、パスワードの管理が必要不可欠です。クラウドサービスの導入にあたり、「既存のパスワード管理体制をクラウド環境でも継承できるか」を確認しておきましょう。

また、セキュリティリスクを低減するため、クラウドサービス利用時に設定されている初期パスワードは速やかに変更してください。各ユーザーがユニークなパスワードを保持することはもちろん、「数字」「英字」「記号」など、多くの文字種別を求める設定にすることで、安全性はさらに高まります。

アクセス情報の権限設定

クラウド環境で保管する情報資産について、アクセス権限を設定することも重要です。

自社が保有する情報に重要度づけを行い、アクセス可能なユーザーを必要最低限に絞るのがオススメです。アクセスできるユーザー数が増えれば増えるほど、情報漏洩などのセキュリティリスクは必然的に高まります。

また、社外の第三者がサイバー攻撃を仕掛けてくる際、一般社員の端末を経由して社内ネットワークに侵入する事例が増えています。そのため、事前にアクセス権限を限定しておき、万が一の場合でも機密情報に辿り着けないようにする環境構築が必要になります。

アクセス情報の権限設定については、利用するクラウドサービスによって設定方法や特徴が異なります。あらかじめ権限設定の機能を入念にチェックした上でサービスを選定することが、情報セキュリティマネジメントの大切なポイントになります。

クラウドサービス利用におけるデータバックアップの方針

たまに「クラウドサービスを使えばバックアップ不要」という意見を聞くことがありますが、これは正しい表現ではありません。

確かにクラウド事業者の中には、データを分散保管(リスク低減のために複数箇所にデータを保管すること)している会社が多く存在し、この場合はバックアップは不要になります。ただし、必ずしもすべてのクラウド事業者がバックアップ対策を講じているとは限りません。

バックアップを含めたデータの管理方法については、契約するクラウド事業者や利用するクラウドサービスごとに大きく異なります。そのため、セキュリティ体制が甘いクラウドサービスを利用する場合は、自社でバックアップ体制を整える必要があります。

つまり、クラウドサービスを導入する前に自社のセキュリティ要件を明確化し、クラウドサービスの特性や仕様を十分に理解した上で、自社に最適なクラウドサービスを選定することが重要です。

なお、情報セキュリティマネジメントガイドラインでは、以下の項目に沿ってバックアップ機能を確認するように明記されています。

  • クラウドサービスに付帯するバックアップ機能及び復元機能
  • クラウドサービス利用者自身が追加・開発するバックアップ機能及び復元機能
  • バックアップデータの暗号化(暗号化の必要性を含む)
  • バックアップデータのローカルでの保管及び隔地保管
  • バックアップデータの保管期間

高度な情報セキュリティマネジメントを実現するために、バックアップ方針は入念にチェックしておきましょう。

自社社員に対する情報セキュリティ教育の方針

クラウドサービスを利用する上で、自社社員に対する情報セキュリティ教育は必要不可欠です。

社員一人ひとりが、自社、顧客、第三者企業など、それぞれの責任や役割を理解した上で、盗難や不正行為など、想定されるリスクを最小限に抑えるべく行動する必要があります。

このように、社員が高いセキュリティ意識を持って業務を遂行することで、理想的な情報セキュリティマネジメントを実現することが可能になります。

情報セキュリティマネジメントガイドラインでは、社員のセキュリティ教育に関して、以下項目を盛り込むことを推奨しています。

  • クラウドサービス利用のための方針、基準及び手順などの規定類
  • クラウドサービスごとの情報セキュリティリスク及び対策
  • クラウドサービスを使用するにあたり考慮すべきシステム及びネットワーク環境におけるリスク

クラウドサービスの技術的な側面だけでなく、社員のセキュリティ教育にも目を向けて、広い目線でクラウド導入を進めていくことが大切です。

クラウドサービスを選定するときのポイント

クラウドサービスの利用用途を明確にする

クラウドサービスを選定するときは、「何の業務に活用するのか」を明確にしておくことが重要です。業務内容によって取り扱う情報は変わりますし、具体的な運用ルールを策定しやすくなります。

自社に適したクラウドサービスを選ぶ

クラウドサービスと一口に言っても、その種類は多岐にわたります。そのため、各クラウドサービスの特徴やメリット・デメリットを理解し、自社に最適なクラウドサービスを選ぶことが大切です。

信頼できるクラウド事業者・サービスを選ぶ

クラウドサービスの特性やセキュリティ体制は、クラウド事業者やクラウドサービスごとに大きく異なります。そのため、複数候補を出して比較検討した上で、信頼できるクラウド事業者・クラウドサービスを選びましょう。

クラウドサービスを運用するときのポイント

クラウド管理者を任命する

クラウドサービスを運用するときは、社内のクラウド環境を管理する「クラウド管理者」を決める必要があります。クラウドの技術的な側面を理解した上で、多角的にクラウドサービスを管理・運用できる人材を任命してください。

利用者の範囲を決定する

クラウドサービスを使うことができる「利用者」の範囲を決めてください。業務内容やセキュリティリスクなどを複合的に考慮して、必要最低限の範囲に留めることをオススメします。

ユーザー認証を徹底する

セキュリティを強化するためにはユーザー認証が必要不可欠です。ユーザー認証とは、パスワードや指紋認証など、不正アクセスを防止するための対策のひとつです。リスクを最小限に抑えるために、予測されにくいパスワードを設定するなどの工夫が必要です。

バックアップ体制を整える

クラウドサービス停止やデータ消失などのリスクに備えて、バックアップ体制を整えておくことが重要です。クラウドサービスの中には、標準でバックアップ機能を提供しているものも存在するため、事前にクラウドサービスの仕様を確認しておく必要があります。

クラウドサービスにおけるセキュリティ管理のポイント

サービスのセキュリティ仕様を理解する

自社で利用するクラウドサービスの具体的なセキュリティ仕様を確認しておきましょう。標準でどのようなセキュリティ対策が実装されているのかを把握することで、追加対策の必要性を判断することができます。

サポート体制を確認する

セキュリティ体制を万全にするためには、サポート体制の確認も大切なポイントです。サポートの受付時間、連絡方法、料金など、細かい部分までチェックしておきましょう。サポート体制を正しく理解しておくことで、クラウド管理者が不在の場合でも緊急事態に対処することができます。

データの保存先を把握する

サーバーが設置されている国や地域によっては、特有の法令が適用されるケースがあります。自社のデータを預けるサーバーがどこにあるのかを把握しておくことで、法令遵守の観点からも、正しい情報セキュリティマネジメントを実現することができます。

まとめ

本記事では、経済産業省が発表している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」について、詳しく解説しました。

クラウドサービスは、自社の業務効率化や生産性向上を実現するための有効な手段になりますが、その導入効果を最大化するためには、様々な観点から事前チェックを行い、自社に合った最適なサービスを選択する必要があります。

本記事を参考に、ぜひクラウドサービスの導入検討を進めてみてはいかがでしょうか。



弊社トップゲートでは、 Google Cloud Platform(GCP) 、または 20ID以上のGoogle Workspace(旧G Suite) 導入をご検討をされているお客様へ「Google Meet で無料個別相談会」を実施いたします。導入前に懸念点を解決したい方、そもそも導入した方がいいのかをお聞きしたい方はお気軽にお申し込みください!

トップゲート経由でGCPをご契約いただけるとGCPの利用料金はずっと3%オフとお得になります!

お申込みはこちら

クラウドに関して一層理解を深めたい方にオススメな記事は以下です。ご興味ありましたら、ぜひご覧ください。

オンプレミスとクラウドの違いとは?メリット&デメリット、移行の注意点も解説

クラウドとオンプレミスの減価償却と会計処理・税務処理について

オンプレミス、クラウド開発における違いとそれぞれの特徴とは?

レンタルサーバーとクラウドの違いとは?あらゆる観点から徹底比較!

メール登録者数3万件!TOPGATE MAGAZINE大好評配信中!
Google Cloud、Google Workspace(旧G Suite) 、TOPGATEの最新情報が満載!

メルマガ登録はこちら

記事を探す

GCP のメリットを最大限に活用しよう!

Google Cloud・Google Workspace のご相談・
お見積り依頼はお気軽に
お問合せフォーム