vol. 03 2020年02月クラウドサービスを利用する際に持つべき認識

インターネット経由で提供されるクラウドサービスは、働き方改革の推進によって多様化する様々な働く環境に親和性が高いことから、利用が急速に広がっています。一方で、クラウドサービスに起因するシステム障害やセキュリティ事故なども多く発生しています。ここでは、クラウドサービスの利用者が注意すべき点について取り上げます。

クラウドサービスのリスク

クラウドサービスを利用したことにより、クラウドサービス事業者にデータやシステムを預けたのだから、それだけでリスクを低減できたと考えているクラウドサービスの利用者が多くいます。クラウドサービスには次のリスクがあります。

外部へのデータ流出、システムへの不正アクセス
クラウドサービスはインターネット経由で提供されるため、データ流出や不正アクセスが起こりえます。オンプレミス（社内に設置したサーバーやソフトウェアなどの情報システム機器によるサービス運用）とは異なるリスクが存在します。

障害などによるデータの消失
オンプレミスからクラウドサービスに移行したあとも、障害などによりデータが消失するリスクは残ります。クラウドサービスの利用者もデータのバックアップについて考慮する必要があります。

有事の際、クラウドサービス事業者に責任は転嫁できない

多くのクラウドサービス事業者が行っているセキュリティ対策は、利用者である企業が自前でオンプレミスのシステムを保有して実施する対策よりもレベルの高い内容が実施されていることがほとんどです。注意すべきなのは、事故が起こった際の責任はクラウドサービスを選定した利用者が負う必要がある点です。クラウドサービス事業者は事故が起こらないように最善の努力を実施してくれますが、事故に起因する損害を補填するなどの責任を負ってくれることはありません。データをクラウドサービスに移行したことでリスクも移転することができたという考えは大きな間違いです。

クラウドサービスの選定時に利用者が確認すべき項目

このことを踏まえて、クラウドサービスの利用者は事業者を選定する際にコストやサービス内容だけで比較するのではなく、事業者に求めるべきセキュリティ対策を明確にしておく必要があります。主に下記の内容が挙げられます。

サービスレベルと補償
前述の通り、事故が起こった際の責任をクラウドサービス事業者が負ってくれることはありませんが、サービスが停止した際の返金がどの程度行われるかなど、サービスレベルと補償の内容を確認しておく必要があります。

ユーザー認証とアクセス制御
クラウドサービスのセキュリティを維持するため、どのようなユーザー認証とアクセス制御が可能なのかは重要です。多要素認証が可能なクラウドサービスは、利用できないものよりも不正アクセスに対するセキュリティレベルが高いということが言えます。

通信の暗号化
クラウドサービスを利用するための通信経路はSSL（TLS）などで暗号化されていることが望ましいです。

最新パッチの適用
OSやアプリケーションに最新のパッチを適用することは、脆弱性を修正してセキュリティを維持するために重要です。SaaSやIaaSといったクラウドサービスの種類によって責任範囲が異なりますが、パッチの適用はクラウドサービス事業者がする場合と利用者がする場合があるので、どちらに責任があるのかを把握しておく必要があります。

データのバックアップ
クラウドサービス事業者側で障害が発生し、データが失われるリスクがあります。利用者は、クラウドサービスでどのようなバックアップをするのか確認すべきです。また、本当に大切なデータについては、クラウドサービス事業者頼りにするだけではなく、複数のバックアップ手段を確保することが望ましいです。

これらのチェック項目を予め規定しておき、クラウドサービス事業者に質問表を投げて回答を依頼するやり方が一般的です。チェック項目の規定には、非営利団体であるクラウドセキュリティアライアンスが公開している基準を参考にしたり、外部のコンサルティングベンダーに取りまとめを依頼する方法があります。