アドバイザリー

クラウド・コンピューティング時代の情報セキュリティ

2012.02.15
photo
國重 靖子
新日本有限責任監査法人
ITリスクアドバイザリー部 シニアマネージャー
システム監査技術者
大手SIerのデータセンターにて、企業の情報システムの受託運用業務、アウトソーシング・ビジネスの企画、構築を十数年にわたり担当。システム移行プロジェクトのプロジェクトマネージャとしての豊富な経験を持つ。監査法人に入所後、大手製造業からネット企業まで幅広い業種の情報システムに係る内部統制及びセキュリティの評価業務、アドバイザリー業務に携わる。最近では、クラウド事業者へ外部委託するときのセキュリティ上の留意点を助言する業務に従事している。


1. クラウド活用の動向

最近注目されている「クラウド・コンピューティング」という言葉は、IT業界やシステム部門の人たちの間だけでなく、ビジネスの現場やメディアでも頻繁に使われるようになってきました。
私どもの関与先にも、会計システムを含む基幹業務システムの環境やサーバー設備をプライベートクラウド化することあるいはクラウド事業者へ委託して運用することを検討している企業が増えてきています。
クラウドを利用する目的は、情報システムの運用コスト削減、BCP(事業継続計画)も含めた基盤強化、あるいはグローバルビジネスの展開における経営管理業務の外部委託といった戦略的なケースなどさまざまです。

しかし、クラウド・コンピューティングに伴い、次のような会社の懸念事項も増えています。

  1. 前向きに検討したいものの考慮すべきことが多すぎてなかなか手が回らない。
  2. セキュリティ対策ってどこまで考えれば安心なのか。
  3. 本当にITコストが下がるのか。
  4. もし委託先のデータセンターがサイバー攻撃の被害にあったらどうなるのか。
  5. もしクラウド環境から自社の個人情報が流出したら。

2. クラウド化により増加するリスクとは?

ア―ンスト・アンド・ヤングが2011年6月から8月にかけて実施した 「グローバル情報セキュリティサーベイ」(世界52カ国1,683社(日本では124社))では、クラウド・コンピューティングを利用する際のリスクを低減させるために実施するコントロールについて調査しています。次のグラフの通り、グローバルと日本では、クラウド・コンピューティングを利用する際に重視しているコントロールに違いがありました。日本では、「暗号化技術」、「クラウド・サービス・プロバイダの資格要件」などを重視する傾向が出ています。
これは、日本の会社がクラウド環境での情報漏えいへの懸念をより強くもっていることの表れと言えるでしょう。

Q6a.クラウド・コンピューティングを利用する際、「新たな」または「増加する」リスクを低減するために実施しているコントロールについて、該当するものをすべて選択してください。

(下の図をクリックすると拡大します)

クラウド化により増加するリスク

3. クラウド化成功の秘訣

このような懸念を解決し、クラウドにおけるセキュリティ上の不安や課題を解決するためには、どのようにクラウドサービスを利用すればよいのでしょうか。
その鍵は、3つあります。

  1. クラウド事業者を選定する際に、会社のセキュリティリスクを洗い出しておくこと
  2. 洗い出したリスクをもとにセキュリティ要件を明文化し、クラウド事業者に対して(RFPなどの形で)明示すること
  3. クラウド導入後のサービスレベルを契約書・SLAなどで規定し、定期的に委託業務をモニタリングすること

悪い事例として、事前に十分な検討をせずにコスト削減を目的としてクラウド事業者を選定してしまい、実際にクラウド導入プロジェクトがスタートしてから、次々と予想外の課題に直面し、事業者との間でトラブルになってしまうことがあります。それを避けるためには、クラウド事業者を選定する前の段階で、リスクに応じたセキュリティ要件を検討しておくことが大切です。さらに、クラウド導入が完了した後も、契約時にクラウド事業者と取り決めしたサービスレベルが遵守されているかどうかを定期的にチェックすることも大切です。
クラウド・コンピューティングにおけるセキュリティについては、公的機関や民間から多数の研究報告が公表されています。クラウドサービスのユーザ企業がクラウド環境を利用する際のセキュリティについては、経済産業省から公表されている「クラウドサービス利用のための情報セキュリティガイドライン」が有効です。このガイドラインでは、クラウドサービスを提供する事業者側とクラウドを利用する企業の2つの立場から、セキュリティ上の留意点を分かりやすく解説しています。
経済産業省のホームページから誰でもダウンロード可能ですので是非参考にして頂きたいと思います。

4. 備えあれば憂いなし

クラウドには特別のリスク認識とセキュリティ技術が必要です。また、クラウド業者に対して要望を出したり、監査が及ばないという問題も残されています。このような状況において、今求められていることは、クラウド業者と適切な契約を締結することと、その契約条件の適切な実行です。そのための備えが今求められています。
なお、当法人では、情報セキュリティに関する各種アドバイザリーサービスを提供しています。以下のページにサービス内容が掲載されていますので、ご興味のある方はぜひご参照ください。





情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?