クラウドサービスは、従来利用者が手元のコンピュータで利用していたデータ・ソフトウェアを、事業者がネットワーク経由でサービスとして利用者に提供するものです。
近年、多くの企業でクラウド化が進んでいますが、安全に利用するためには、いくつもの項目をチェックしなければいけません。
具体的に解説します。
①選定時のチェック項目
一口にクラウドサービスといっても、その種類や特徴は多種多様です。
そのため、実際導入する前に、まずは選定時のチェック項目を把握しておきましょう。
・どの業務で利用するのかを明確にする
クラウドサービス選定時は、まず企業におけるどの業務で利用するのかを明確にしましょう。
具体的には、どの業務をクラウドサービスで行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールをハッキリさせる必要があります。
・クラウドサービスのメリットを確認する
クラウドサービス選定時は、各サービスのメリットについて確認し、比較しなければいけません。
・取り扱う情報の重要度、クラウドサービスのリスクを確認する
クラウドサービスを選定する際には、クラウドサービスで取り扱う情報の重要度と、取り扱う情報に漏えいや改ざんがあった場合、またはサービスが停止した場合のリスクを確認しましょう。
・事業者をチェックする
クラウドサービスをリリースしている事業者の信頼性も、忘れずにチェックします。
・クラウドサービス自体の安全性・信頼性をチェックする
クラウドサービスを選定する場合は、サービスの稼働率や障害発生の頻度、障害児の回復目標時間などのサービス品質保証が示されているかどうかも確認しましょう。
②運用時のチェック項目
続いては、実際にクラウドサービスを運用する際に、企業がチェックしたい項目を見ていきましょう。
・管理担当者を決定する
クラウドサービスを運用する際は、クラウドサービスの特性を理解した管理担当者を確保・配置する必要があります。
・利用者の範囲を決定する
企業内において、クラウドサービスを適切な利用者のみが利用できるような環境が整っているかどうか確認します。
・利用者認証を厳しく行う
クラウドサービスの認証機能について、共有を避けたり、パスワードを複雑にしたりといった適切な管理体制が整っているかどうかもチェックしなければいけません。
・パックアップを取っておく
クラウドサービスを運用する場合、サービス停止やデータの改ざん、消失などに備えて、機密情報を手元に確保しておかなければいけません。
③セキュリティ管理のチェック項目
最後は、クラウドサービスのセキュリティ管理におけるチェック項目です。
自社のネットワークにおいて、適切なセキュリティ管理が必要であるように、クラウドサービスでも、セキュリティ管理については重視しなければいけません。
・付帯するセキュリティ対策をチェックする
利用を検討するクラウドサービスに、どのようなセキュリティ対策が付帯しているのか、あるいはセキュリティ対策が具体的に公開されているかどうかを確認します。
・利用者のサポート体制をチェックする
利用するクラウドサービスにおいて、使用方法がわからないときのサポート(サポートデスク、FAQ)が提供されているかどうかをチェックします。
・利用終了時のデータの取り扱いについてチェックする
クラウドサービスの利用終了後、そこで取り扱っていたデータがどう取り扱われるのかについては、事前に確認しておかなければいけません。
・適用法令、契約条件をチェックする
クラウドサービスを利用する際は、個人情報保護などを想定し、適用法令や一般的契約条件の各項目について、必ず確認しなければいけません。
・データ保存先の情報をチェックする
クラウドサービスによって保存されるデータが、どの国または地域に設置されたサーバに保存されているかを確認します。
クラウドサービスのサーバは、日本国外に設置されている場合もあり、扱うデータによっては、サーバの設置国・地域の法規制が適用されることもあるため、注意しましょう。
クラウドサービス選定時に選考となる制度
クラウドサービス事業者が、適切なデータ保護やセキュリティ対策を実施していることを、マークとして表示する制度があります。
以下のような制度のマークを表示している事業者は、ある程度信頼性があると判断できるため、クラウドサービスを選定する際には参考にしてください。
・IMSMクラウドセキュリティ認証
・クラウド情報セキュリティ監査制度(ゴールド、シルバー)
・ASP・SaaS情報開示認定制度(医療情報、特定個人情報、IoTクラウド、データセンターなど計7種類)
まとめ
ここまで、企業がクラウドサービスを安全に利用するためのチェック項目を見てきましたが、いかがでしたか?
クラウドサービスを利用すれば、情報処理はすべてクラウド事業者が管理するサーバで実行されるようになります。
しかし、情報漏えいや改ざんなどが発生した場合、顧客や取引先への責任を取らなければいけないのは、クラウドサービスを利用する企業ですので、注意しましょう。
