2024.07.25

クラウドサービス安全に利用するポイントとは（2/3）

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。今回は、前回の「クラウドサービスを安全に利用するポイント」でご紹介した利用時のポイントNo.1～15について、それぞれ実際に何をしたらよいのかを例を挙げて解説します。

１．選択するときのポイント

No.1 どの業務で利用するか明確にする
例えば、社内の情報共有のために、
・グループウェアを利用し、社員のスケジュール管理を行う
・オンラインストレージに製品カタログを保存して営業部門で共有する…など

No.2 クラウドサービスの種類を選ぶ
例えば、社外でも業務ができるようにして、コストを削減するために、
・経費精算にクラウドサービスを利用することで外出先や自宅などどこでも業務ができるようにする
・経費精算に関わる社内の作業時間を短縮し、サービス利用料を上回るコストを削減する…など

No.3 取り扱う情報の重要度を確認する
例えば、お客様の個人情報をクラウドサービスに保存していて、サイバー攻撃で個人情報が漏えいした場合の影響、
・悪用などで本人に多大な迷惑がかかる
・本人への謝罪、補償や関係者への連絡が必要になる
・個人情報保護委員会に報告が必要になる
・被害拡大防止や再発防止のために多額の費用がかかる…など

No.4 セキュリティのルールと矛盾しないようにする
例えば、給与計算をクラウドサービスで行うにあたり、自社のセキュリティルールでは従業員のマイナンバーを登録する必要があるが、
・マイナンバーを記載した書類やデータを社外に保存することは社内ルールで禁止されている
・そこで暗号化登録ができるサービスを利用し、暗号化した場合のみ社外の保存を許可するルールに変更する…など

No.5 クラウド事業者の信頼性を確認する
例えば、会計業務をクラウドサービスに移行するにあたり長期間利用できて、セキュリティ対策を常に改善しているサービスを選択するために、
・事業者が公表している財務情報を確認する
・利用者数などの実績を問い合わせる
・事業者の情報セキュリティ方針や関連した認証・認定制度^※1の取得状況を確認する…など
※1）
〇ISMSクラウドセキュリティ認証（一般社団法人情報マネジメントシステム認定センター）https://isms.jp/isms.html
〇クラウド情報セキュリティ監査制度（特定非営利活動法人日本セキュリティ監査協会）
http://jcispa.jasa.jp/cloud_security/
〇ASP・SaaS情報開示認定制度（一般社団法人日本クラウド産業協会）
https://www.aspicjapan.org/nintei/asp-nintei/index.html
〇ISMAP　政府情報システムのためのセキュリティ評価制度
https://www.ismap.go.jp/

No.6 クラウドサービスの安全・信頼性を確認する
例えば、店舗にクラウド型POSレジを導入するにあたりサービスが常に動いている必要があるため、
・事業者またはプラットフォーム事業者が公表している品質保証基準（SLA^※２）を確認する
・システムの障害でデータ消失などの被害が発生したときに、どこまでが事業者の責任で、どこからが利用者の責任なのか利用規約で確認する…など
※２）Service Level Agreement サービスレベルに関する合意書

２．運用するときのポイント

No.7 管理担当者を決める
例えば、クラウド型顧客管理システムの運用にあたり、
・入力項目やその活用については営業部長が担当する
・技術的な設定や社内のヘルプデスクはシステム管理者が担当する…など

No.8 利用者の範囲を決める
例えば、販売管理をクラウドサービスで行うにあたり、
・社長と販売部門従業員だけに利用者アカウントを作成する
・承認権限は従業員の上司に付与する…など

No.9 利用者の認証を厳格に行う
例えば、なりすましや不正ログインを防ぐために、
・パスワードは破られにくい安全なパスワードを利用する
・ID・パスワードの共有はしない
・サービスで以下の認証方式が提供されている場合は利用する
・特定のパソコンでしか利用できないように電子証明書^※3をインストールする
・パスワードを不正利用されてもログインはできないように「2段階認証」^※4を用いる…など
※3）特定のPCからしかアクセスできないように制限するための「身分証明書」
※4）複数の要素（記憶、所持、生体情報）を用いた「多要素認証」や、同じ要素の認証を多段で実施する「多段階認証」など

No.10 バックアップに責任を持つ
例えば、会計データやホームページなど、消失や改ざんされたときの影響が大きいものは、
・クラウドサービスの拡張機能にバックアップがある場合は利用する
・定期的に社内の専用ハードディスクなどにもバックアップを取得する
・直前のバックアップよりもさらに過去の状態に遡って復元できるように複数世代^※5のバックアップを取得する…など
※5）毎月のバックアップで前月だけでなく2ヶ月前、３ヶ月前のように複数のバックアップを取得すること

３．セキュリティ管理のポイント

No.11 付帯するセキュリティ対策を確認する
例えば、サイバー攻撃や通信傍受に対する対策が十分されているか、
・通信の暗号化
・ファイアウォールや侵入検知
・ウイルス対策
・サービスで使っているOSやソフトウェアの脆弱性対応・セキュリティパッチの適用について公開されているか確認する…など

No.12 利用者サポートの体制を確認する
例えば、クラウドサービスを社内のシステム担当者不在の週末も利用するため、
・サポートの受付時間（週末夜間も受付可能か）
・連絡方法（メール、電話、チャット、オンライン、のうちパソコンがない事務所から週末も電話連絡可能か）
・料金（頻繁に問い合わせた場合に料金はどのぐらいか）を確認する…など

No.13 利用終了時のデータを確保する
例えば、利用中のクラウド型会計システムを他のクラウドサービスに変更するにあたり、
・過年度データを含む全データを返却または社内のパソコンなどにダウンロードできるか
・データのフォーマットは他のサービスと互換性があるか
・移行先のサービスは返却されたデータを一括して取り込む機能があるか
・返却後にシステム上に残るデータは完全に消去または再利用されないことが保証されているかを確認する…など

No.14 適用法令や契約条件を確認する
例えば、クラウドサービスに秘密情報や個人情報を保存するため、
・利用者が入力したデータにサービス事業者がアクセスする場合の条件や責任について明記されているか
・設備の保守等を再委託している場合の再委託先の管理監督責任について明記されているか
・利用者が入力した個人情報に関して個人情報保護法に準拠することが明記されているか（安全管理措置、委託先の監督）を確認する…など

No.15 データ保存先の地理的所在地を確認する
例えば、インターネットを通じて商品やサービスを海外に販売する越境ECを開店するにあたり、
・プラットフォームを構築するデータセンターの所在国・地域と現地の個人情報保護に係わる法律・規制^※6を確認する
・現地の法律・規制に基づきプライバシーポリシー制定や個人情報の取り扱いについて事前に承諾を得るようにする…など
※6）
〇個人情報保護法
〇EU一般データ保護規則（General Data Protection Regulation：GDPR）
〇アメリカ・カリフォルニア州消費者プライバシー法（California Consumer Privacy Act：CCPA）
〇中国・個人情報保護法（Personal Information Protection Law：PIPL）

なお、本稿は、独立行政法人情報処理推進機構（IPA）が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」を中心に解説しています。

次回は、クラウドサービスで実際に起きた事故事例と利用者側の対応について解説します。

記事一覧に戻る