クラウドセキュリティガイドラインとは何か?
セキュリティ対策を検討する際、「クラウドセキュリティガイドライン」を自社の基本方針に活用できます。ここでは、くわしい概要について解説します。
1.クラウドセキュリティガイドラインとは?
「クラウドセキュリティガイドライン」は、2011年4月に経済産業省が公表した、情報セキュリティ管理に関する指針です。正しい名称は、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」です。2014年3月には、ガイドラインの内容が改訂されました。
「クラウドセキュリティガイドライン」では、クラウドサービスの利用者が気をつけるべきポイントや、クラウド事業者が利用者に対して開示すべき情報などの詳細が記載されています。ガイドラインは、クラウド事業者と利用者が協力してセキュリティ対策を行うことを目的としています。
2.クラウドセキュリティガイドラインは国際基準
近年、国内のクラウドサービスだけでなく、海外のサービスを利用する企業も増えています。利用者が国内外のクラウドサービスを安心して活用できる環境を整備するためには、世界共通のガイドラインが必要です。そのため政府は、2010年10月に開催された秋季ベルリン会合で、英訳した「クラウドセキュリティガイドライン」を提案しました。
日本のガイドラインをベースに、各国の意見を取りまとめて策定されたのが「ISO/IEC 27017」です。また「ISO/IEC 27017」を活用して、国内では「CSマーク」や「ISMSクラウドセキュリティ認証」などの様々なセキュリティ認証が誕生しています。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
クラウドセキュリティガイドラインの策定内容
「クラウドセキュリティガイドライン」では、クラウドサービスを選定する前に検討すべき事項が記載されています。それぞれの詳細について解説します。
1.クラウドサービスの利用者が気をつけるべきリスク
クラウドサービスを選定する際は、クラウド事業者がどのようなリスク対策を実施しているか、確認することが必要です。たとえば、ネットワークや仮想化基盤、サービス基盤、インフラに関するリスク対策を行っているかをチェックする必要があります。
また、セキュリティ管理環境への攻撃や改ざんを防ぐための対策も欠かせません。クラウドサービスや連携した外部サービスにログインする際、二段階認証などのID管理が可能かどうかの確認も必要です。
2.クラウド事業者を選ぶ際に検討すべきこと
クラウドサービスでは、様々な機能やサービスを利用できます。自社にあったクラウド事業者を選ぶためには、利用する目的や自社に必要な機能、外部に預けるデータなどを、あらかじめ自社で整理しておく必要があります。また、セキュリティ関連のサポート体制がしっかりとしている事業者を選びましょう。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
クラウドセキュリティガイドラインが策定された背景
クラウドセキュリティガイドラインが策定された背景には、クラウドサービスを介して大規模な情報漏えいや障害が発生し、世界的にクラウドセキュリティの基準や国際標準の策定の必要性が問われるようになったことが挙げられます。
政府は、サービス利用者の不安を払拭し、安心してクラウドサービスを利用できるようにするため、クラウド事業者選択の際に活用できる判断基準を設けました。利用者がクラウドサービスの脆弱性など、セキュリティリスクに関して正しく共通認識を持つことや、事業者・利用者の双方が信頼関係を構築するための手助けとして、このガイドラインは策定されたのです。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
クラウドサービスを安全に利用するために企業がすべき対策
セキュリティ対策を強化するためには、いくつか確認すべきことがあります。ここでは、「SaaS」へのセキュリティ対策について解説します。
1.ユーザー認証やアクセス制御の管理を行っている
クラウドサービスにログインする際、IDやパスワードの入力だけの認証では、セキュリティとして不十分です。ワンタイムパスワードなどの二段階認証を採用している、アクセス制御を設定して登録ユーザー以外のアクセス制限ができるといった機能があるクラウドサービスを選ぶ必要があります。
また、アカウントの管理が重要です。退職者などによる不正アクセスの原因につながりやすいため、退職者のアカウントは抹消するよう徹底してください。
2.データの保管先を確認する
クラウド事業者の中には、自社のデータセンターを海外に設置しているケースも少なくありません。設置した国によって、法制度や従事者の情報セキュリティに対する意識が異なるため、かえってセキュリティリスクを高める場合があります。法制度によるリスクを減らすためにも、国内にデータセンターがある事業者を選ぶのがおすすめです。
3.信頼できるクラウドサービスやベンダーを選ぶ
セキュリティ機能の充実度やデータの安全性の高さは、ベンダーによって異なります。そのため、セキュリティ対策が充実している、24時間365日監視しているなど、万全なサポート体制があるクラウドサービスやベンダーを選びましょう。セキュリティ関連の情報は、ベンダーの公式Webサイトやホワイトペーパーなどで確認できます。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
セキュリティ対策が万全なクラウドサービスを見極めるポイント
セキュリティ対策が充実しているクラウドサービスを見極めるにはコツがいります。ここでは、注目すべき3つのポイントを解説します。
1.データは複数のデータセンターに分散して保存されている
複数のデータセンターをもつクラウドサービスは、データの安全性が高い傾向にあります。万が一、1カ所のデータセンターのデータが消失しても、複数のデータセンターに分散して保存しているため、預けたデータがすべてなくなる心配がありません。
複数のデータセンターがない場合は、データのバックアップが可能か、サイバー攻撃や災害などの有事のリスク分散ができているかを確認しましょう。
2.ログ情報の管理がしっかり行われている
アクセスログの記録や管理が徹底しているかの確認も重要です。アクセスログとは、クラウドサービスにログインした際に記録される情報です。たとえば、アクセスがあったIPアドレスや日時、ファイル名などを確認できます。アクセスログは、いつ、誰が、どの情報にアクセスしたのかがわかるため、不正アクセスなどが発生した場合、原因を究明するときに役立ちます。
3.データ通信のSSL化に対応している
Webページのデータ通信が暗号化(SSL化)されているかの確認も大切です。SSL化に対応していないクラウドサービスを利用した場合、預けた情報やデータが改ざんや漏えいのリスクにさらされてしまいます。
データ通信のSSL化は、セキュリティ対策をするうえで基本的な施策です。そのため、クラウドサービスがSSL化に対応しているかどうかで、最低限のセキュリティ対策が施されているのかを見極めることができます。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
まとめ
「クラウドセキュリティガイドライン」は、企業がクラウドサービスへのセキュリティ対策をするうえで重要になる指針です。ビジネスにクラウドサービスの利用は必要不可欠ですが、セキュリティリスクを正しく理解し、必要な対策を事前に実施しておくことが重要です。
「NURO Biz」では、情報セキュリティ対策の基本からクラウドサービス利用時に検討すべきセキュリティまでを網羅したホワイトペーパーを公開しています。ご興味がありましたら、是非ダウンロードください。
お役立ち資料をダウンロード
「ホワイトペーパー|クラウドサービスをさらに使いやすく、高セキュアに運用する極意」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。