叡智の三猿

森羅万象を情報セキュリティマネジメントで捉える

クラウドサービス利用のための情報セキュリティチェック

2010年以降、あらゆる企業がクラウドサービスを採用する動きが加速しました。

企業がクラウド採用をするはじめの目的はシステムの導入コストを削減できる期待でした。ただ、クラウドはサービスの利用料が発生するので、長期間利用すると、トータルコストはオンプレミス(自社サーバにシステムを導入する形態)と、比較してあまりメリットがありません。

それでもクラウドサービスを採用する企業が多いのは、オンプレミスよりもずっと短期間で、システムを利用することができるからです。自社開発をするシステムでも、IaaS(アイアース)のクラウドを採用することで、ネットワーク経由で、ハードウェアやOSを、必要なときに必要な分だけ利用できます。PaaS(パース)で提供されたプラットフォームを使えば、アプリケーション開発も楽になります。SaaS(サース)型であればシステムの利用までの期間が短縮できます。

採用メリットの大きなクラウドサービスですが、企業がクラウドサービスの導入にあたって課題となるのが、セキュリティ対策です。

クラウドサービスを利用すると、会社が保有する情報の管理、処理をクラウド事業者に委ねることになります。

前述したとおり、クラウドサービスは、SaaS、PaaS、IaaSの3つに分類出来ます。この分類でクラウド事業者とクラウド利用者でセキュリティをコンロールする範囲(レイヤ)が下記のように異なります。

クラウドサービスの分類とセキュリティコントロール

すべてを自社でまかなうオンプレミスであれば、セキュリティ対策も自社が責任を持ちますが、同時にセキュリティ対策も自社でコントロールができます。クラウドサービスはそれができません。

クラウドサービスを利用したサービスのセキュリティコントロールは単純ではありません。たとえば法人向けにSaaS型のクラウドサービスを提供する企業がインフラ部分をIaaS型のサービスを利用した場合、セキュリティ対策の責任は、レイヤに応じて、①SaaSサービスを利用する企業、②SaaSサービスを提供する企業、③IaaSサービスを提供する企業に分かれます。

クラウドサービスの採用を検討している企業が、対象となるサービスがどのようなセキュリティ対策を施しているかを知る必要があります。わたしはクラウドサービスの運用を担う仕事の一環として、サービスを利用する企業の求めに応じて、セキュリティ対策の情報を提供し、課題を管理する仕事をしました。

※先月投稿された、この仕事の大変さが伝わるサイボウズ社の社長さんのTwitterです。

サービスを利用する企業が気にするセキュリティのチェックポイントは企業によってさまざまです。ただ、どの企業も気にしているのが、データの保管場所の安全性です。クラウドサービスはどこかのコンピュータで処理が行われています。たとえば、AmazonAWSは、世界で最も広く採用されているクラウドプラットフォームで、このような大規模クラウドサービスは「データセンター」と呼ばれる機器の集約された巨大施設が担います。集約されたコンピュータは大量のデータを高速に並列処理をすることができます。可用性の高いデータセンターは、堅牢で災害に強く、第三者が容易に入ることが出来ません。24時間365日安定して電力供給や温度管理が行われます。

自社のサーバーでデータを保管するより、クラウドを利用した方が安全といえます。

クラウド利用企業のセキュリティ要望と、クラウド事業者のセキュリティ対策の架け橋となる文書が、経済産業省による「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」です。この文書は2013年の改訂版(初版は2011年)が出てからかなりの年数が経過しているのですが、汎用的な文言で、クラウドサービス利用者の立場から、セキュリティの管理策を表現しています。サービス利用者側にとっても、提供者側にとってもセキュリティ対策のガイドラインとして有益な情報源です。

クラウドサービス利用のための情報セキュリティマネジメントガイドライン」は、汎用的なセキュリティガイドラインですので、業種を問わずあらゆる企業が活用できますが、業種に特化したガイドラインもあります。

金融系のサービスをしている企業であれば「金融機関等コンピュータシステムの安全対策基準・解説書(FISC安全対策基準)」が有名です。

FISC(The Center for Financial Industry Information Systems)は、金融情報システムに関連する様々な問題についての研究調査や、安全対策の推進活動を行う財団法人です。FISCは、国内の銀行・保険・証券・クレジット会社といった主要な金融機関をはじめとして、コンピュータメーカーや情報処理会社なども加盟しています。

金融機関というと、お堅いイメージがあるので、クラウドサービスの利用に対して消極的だと思われがちですが、決してそうではありません。それを象徴するのがAmazonAWSの利用です。AWSは「金融機関向け AWS FISC安全対策基準対応リファレンス」という文書を発信することで、金融機関のクラウドサービス利用を促しています。そしてFISCの会員企業であるIT企業がAmazonと協力して、AWSの推進をサポートしています。