2024.07.01
クラウドサービスを安全に利用するポイントとは(1/3)
目次
こんにちは。「サイバーセキュリティフォローアップ事務局」です。
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。本メールマガジンでは「クラウドサービスを安全に利用するポイント」について解説します。近年、働き方改革や新型コロナウイルス感染症対策の影響でテレワークが急増しました。それに伴い、インターネットがあればどこでも仕事ができるクラウドサービスへの移行が進んでいます。今後、ますます普及すると考えられるクラウドサービスを安全に利用するためのポイントについて3回に分けて解説します。
(1)クラウドサービスとは
インターネットを通じてソフトウェアやハードウェアを利用する情報システムサービスのことを指します。利用者から見えない場所にあるコンピュータを利用することから「クラウド(cloud、雲)」と呼ばれています。経営管理アプリケーション(財務会計、税務申告、給与計算、労務管理)、業務アプリケーション(顧客管理、販売管理、名刺管理、ホームページ作成、ECサイト)、オフィスアプリケーション(ワープロ、表計算、グループウェア、電子メール、オンラインストレージ)など、様々なサービスがあり、利用が急速に進んでいます。代表的なものとして、皆さんにも身近なマイクロソフト社のMicrosoft 365などが挙げられます。
クラウドサービスは、提供される情報システム(ハードウェアやソフトウェア)の範囲によって、次の3つの形態に分類されます。
| SaaS(Software as a Serviceの略。 読み方はサース) | 会計アプリケーションやオフィスソフト、ファイルサーバーなど、一般に利用されているアプリケーションソフトをウェブサービスとして提供します。 |
| PaaS(Platform as a Serviceの略。読み方はパース) | OSやデータベース管理システムなどのミドルウェアを提供します。アプリケーションソフトは別途導入しなければなりません。 |
| IaaS(Infrastructure as a Serviceの略。読み方はイアース) | 仮想のサーバーやメモリなどのハードウェアやネットワークなどのシステム基盤のみを提供します。 |
日本のPaaS市場、IaaS市場では、大手クラウドサービス(AWS(Amazon)、Azure(Microsoft)、GCP(Google))の利用率が高く、特にAWSは、PaaS/IaaS利用企業の半数以上を占めています。※総務省 令和5年度 情報通信白書から
これらのクラウドサービスを提供する組織は「プラットフォーム事業者」「クラウドサービスプロバイダー」などと呼ばれます。一部のサービスでは、プラットフォーム事業者自身が、他の大手事業者が提供するPaaSを利用して業務用アプリケーションを構築し、顧客がそれを利用する、という形で1つのクラウドサービスが構築されることもあります。この場合、複数事業者のサービスで構成されるため、サービス利用者には全体の構成が分かりにくく、サービスを選択するときの判断が複雑になることがあります。
(2)クラウドサービスのメリット
クラウドサービスは情報システムを自社で所有・管理する必要がないため、ハードウェアやソフトウェアの導入・保守の費用や負担が軽減されます。また、利用者はインターネットに接続するパソコンやスマートフォンがあれば、いつでも・どこからでも利用することができる、というメリットがあります。国の情報システム導入におけるコスト削減や柔軟なリソースの増減などの観点から、「クラウド・バイ・デフォルト原則」や地方公共団体の経費削減や住民サービス向上図る「自治体クラウド」など、コンピュータ資源を所有せずに利用するクラウドが主流になりつつあります。
(3)クラウドサービスの注意点
クラウドサービスはインターネットを利用するため、いつでも、誰でも、どこからでもアクセス可能である一方、絶えずサイバー攻撃のリスクに晒されています。そのため、インターネット特有の脅威やリスクを考慮し、サービス提供事業者のセキュリティ対策を把握するとともに、利用者自身でできるセキュリティ対策を実行する必要があります。
(4)クラウドサービスを安全に利用するためのポイント
クラウドサービスのセキュリティは、サービス提供事業者と利用者がそれぞれの役割と責任を分担し、必要な対策を実施することで維持・向上します。
以下にクラウドサービスを安全に利用するためのポイントについて解説します。
1.選択するときのポイント
| No.1 どの業務で利用するか明確にする | クラウドサービスでどの業務を行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましょう。 |
| No.2 クラウドサービスの種類を選ぶ | 業務に適したクラウドサービスを選び、メリットについて確認しましょう。 |
| No.3 取扱う情報の重要度を確認する | クラウドサービスで取扱う情報が漏えいしたり、改ざんされたり、消失、サービスが停止したときの影響を確認しましょう。 |
| No.4 セキュリティのルールと矛盾しないようにする | セキュリティのルールとクラウドサービス活用との間に矛盾や不一致が生じないようにしましょう。 |
| No.5 クラウド事業者の信頼性を確認する | クラウドサービスを提供する事業者は信頼できる事業者を選択しましょう。 |
| No.6 クラウドサービスの安全・信頼性を確認する | サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証を確認しましょう。 |
2.運用するときのポイント
| No.7 管理担当者を決める | クラウドサービスの技術的な側面などの特性を理解したうえで、業務に適した運用や設定・操作・ヘルプデスクを行うことができる、管理担当者を社内に確保しましょう。 |
| No.8 利用者の範囲を決める | クラウドサービスを利用する人の範囲を決め、どのような権限を与えるか適切に管理しましょう。 |
| No.9 利用者の認証を厳格に行う | パスワードなどの認証機能を適切に設定・管理しましょう。 |
| No.10 バックアップに責任を持つ | サービス停止やデータの消失・改ざん等に備えて、重要情報を手元に確保して、必要なときに使えるようにしましょう。 |
3.セキュリティ管理のポイント
| No.11 付帯するセキュリティ対策を確認する | クラウドサービスにおけるセキュリティ対策が具体的に公開されているか確認しましょう。 |
| No.12 利用者サポートの体制を確認する | サービスの使い方がわからないときの支援(ヘルプデスクやFAQ)が提供されているか確認しましょう。 |
| No.13 利用終了時のデータを確保する | サービスの利用が終了したときの、データの取扱い条件について確認しましょう。 |
| No.14 適用法令や契約条件を確認する | 個人情報保護など関連法規制の遵守などを規定した利用規約等について確認しましょう。 |
| No.15 データ保存先の地理的所在地を確認する | データがどの国や地域に設置されたサーバーに保存されているか確認しましょう。 |
なお、本稿は、独立行政法人情報処理推進機構(IPA)が発行している「中小企業の情報セキュリティ対策ガイドライン第 3.1版」を中心に解説しています。
次回は、クラウドサービスを安全に利用するポイントの続きとして、実際に何をしたら良いのか、例を挙げて解説します。
