アドバイザリー

クラウドサービス利用におけるリスクとその対応

2013.04.24
阿部 耕平
阿部 耕平
新日本有限責任監査法人
ITリスクアドバイザリー部 シニア
公認情報システム監査人、情報セキュリティスペシャリスト、ITコーディネーター
大手SIerにて、銀行向け勘定系システムや官公庁向け人事システムのプロジェクトに従事し、インフラ設計と運用設計を中心に担当。
監査法人に入所後、大手製造業からネット企業まで幅広い業種の情報システムに係る内部統制及びセキュリティの評価業務、アドバイザリー業務に携わる。最近では、官公庁向けシステムのセキュリティ監査ならびにセキュリティ上の留意点を助言する業務に従事している。


はじめに

近年企業で利用が進んでいるサービスの一つにクラウドサービスがあります。クラウドにはSaaS、PaaS、IaaSといったサービスモデルがあり、クライアント企業のニーズや利用形態に合わせて提供されています。特に、SaaSでは営業支援ツールなどのフロントオフィスから会計システムなどのバックオフィスに至るまで、企業運営にかかわる多くのサービスが存在します。クラウドサービスを利用する際のメリットとして、ITインフラとアプリケーションに費やしてきた手間が削減されることや、自社でシステムを導入・維持・管理をする場合のコスト、いわゆる総所有コスト(TCO)の減少などが挙げられます。
実際、EYが毎年実施している「グローバル情報セキュリティサーベイ(以下「GISS」という)の結果からも、国内企業のクラウド利用率は2011年度に38.2%であったのに対し、2012年度には56%と増加する傾向にあり、多くの企業でクラウドが採用されつつあることがうかがえます。
その反面、最近ではオンラインストレージサービスのバグにより、ストレージ上の情報が漏えいする事故や、レンタルサーバにおけるデータの消失ならびにデータ復元時の事故などの事例も耳にするようになってきました。

今回は、クラウドサービスを利用するにあたり、重要となるクラウドサービスプロバイダの管理について考察していきたいと思います。

クラウドサービスおよび外部委託に対する管理の状況について

情報資産を自社の外部に出すという点においては、従来行われてきたシステムの開発・運用業務の外部委託と同じと言えます。そこで、クラウドサービスおよび外部委託に対する管理の状況をGISSの結果で比較すると、クラウドサービスに対するコントロールとして"特になし"と回答されたクライアントが49%と大半を占める結果となりました(図1参照)。

(下の図をクリックすると拡大します)

図1:クラウドサービスに対するコントロール

しかし、外部委託先へのコントロールとして、"評価やレビューは行っていません"と回答された企業は25%に留まりました。さらにクラウドサービスに対するコントロールとの大きな違いは"情報セキュリティ部門、調達部門または内部監査部門による評価を実施している"と回答された企業が49%と、多くの企業で外部委託先に対する評価が行われている点にあります(図2)。

(下の図をクリックすると拡大します)

図2:パートナー企業、外部委託先(ベンダー、契約社員)に対するコントロール

これらの結果から、外部委託に対するコントロールと比較すると、クラウドサービスに対するコントロールは重視されていない傾向があります。
しかし、法律により求められているコントロールもあります。たとえば、クラウド上のデータに個人データが含まれている場合は、個人情報保護法22条により、委託先に対する監督責任(クラウドの場合はクラウドサービスプロバイダに対する監督責任)がクライアント企業に求められています。また、外部監査が義務付けられている上場企業において、クラウドサービスが重要な業務プロセスに関連するシステムである場合、クラウドサービスプロバイダが実施している業務の内部統制についても検討が必要となります。
次に、クラウドサービスを利用することで新たに直面するリスクについて検討してみましょう。

クラウドサービスを利用する際に注意が必要なリスクについて

ENISA(欧州ネットワーク情報セキュリティ庁)によるとクラウドを利用することで発生するクラウド特有のリスクには、"ポリシーと組織関連のリスク" 、"法的なリスク"、"技術関連のリスク"の三つのリスクカテゴリーがあります(表1参照)。

<表1:リスクカテゴリーと代表的なリスク>

リスク
カテゴリー
代表的なリスク 補足説明
ポリシーと組織関連のリスク ・ベンダーロックイン あるクラウドサービスプロバイダの独自技術に大きく依存したサービス、システム等を採用した際に、他のプロバイダが提供する同種のサービス、システム等への乗り換えが困難になるリスク
・ガバナンスの喪失 クラウドサービスプロバイダが運用管理の方法を変更することで、クライアント企業がガバナンスレベルを維持できない状況に陥るリスク
・コンプライアンスの課題 クラウドサービスプロバイダが監査または認証の証明書を提供できないためにクライアント企業が取得していた認証の維持が難しくなるリスク
・クラウドサービスの終了または障害 クラウドサービスの終了または障害により、クライアント企業のサービスを継続できなくなるリスク
法的なリスク ・司法権管轄の違い 各国の法制の違いによって情報の機密性を維持できなくなるリスク
・証拠提出命令や電子的証拠開示によるリスク 法的機関や民事訴訟による証拠提出命令により物理的なハードウェアを没収された場合、多くの顧客のデータの機密性を維持できなくなるリスク
・データ保護に関するリスク クラウドサービスプロバイダからユーザに通知されないデータセキュリティ違反が存在するリスク
技術関連のリスク ・隔離の失敗によるリスク 複数のクライアント企業間でリソースを共有する環境において不十分なアクセス制御により機密性を維持できなくなるリスク
・クラウドサービスプロバイダ従事者による不正によるリスク プロバイダ従事者の不正によってサービスに影響を与えるもしくはデータの機密性を維持できなくなるリスク

(ENISA,Cloud Computing: Benefits, risks and recommendations for information securityに基づき筆者作成)

このようにクラウドには、クラウド独自のリスクが存在します。当然クラウドサービスを利用するすべてのクライアント企業がそのリスクについて検討し、必要に応じてコントロールしなくてはなりません。

過去にクラウドサービスで発生した事例について

多くのクライアント企業で運用面・安全面をクラウドサービスプロバイダに委ねている状態となっている中、次のような事例があります。

事例1 コンプライアンスの課題

クラウドに財務諸表に関連する重要な数値/プロセスが含まれる場合は、監査等の内部統制への対応としてクラウドサービスプロバイダに証憑の提供を要求する場合があります。クライアント企業はクラウドサービスプロバイダの協力が得られると考えておりましたが、実際には“社内機密情報のため開示できない”と回答されました。そのため、内部統制への対応として別の手段を考えなくてはなりませんでした。

事例2 クラウドサービスの障害

レンタルサーバのサービス障害復旧の為に実施したメンテナンスでデータが消失し、その後リカバリした復元データに他のユーザの情報が含まれるという情報漏えいが発生しました。

いずれの事例においても、クライアント企業は追加費用の発生や信用の失墜ならびにビジネス機会の損失などの被害を被りましたが、クラウドサービスプロバイダの対応は契約締結時の条項にのっとった範囲に留まるようです。

クラウドサービスプロバイダに対する望ましいアプローチについて

クラウドサービスは多くのリスクにさらされています。この認識に基づきクラウドサービスプロバイダに対するリスク管理を検討することが重要です。
特にSaaSの場合、クラウドサービスプロバイダごとに利用できるサービス、データフォーマットなどが異なることから他のプロバイダへ移行することが難しく、ベンダーロックインの状態になることが多くあります。そのため、クラウドサービス選定時のアプローチが非常に重要となります。外部サービス利用時の一般的な評価基準 “財務的・経営的安定性の評価”、“サービスレベル合意書”、“複製データの管理”について定めておくとともに、クラウド選定時の評価基準として“クラウド特有のリスクへの対応”について明確にしておくことをお勧めします。 

また、事例2における第三者調査委員会の最終報告では“マニュアルから逸脱したシステム変更を上長が容認しているなどの管理上の過失が認められる”としています。この事例では、レンタルサーバ提供会社はISMSの認証を受けていましたが、事故の内容はシステムの運用管理に関するものであり、認証を受けていた国際規格とは異なる分野で事故が発生しました。基本的なことではありますが、やはり委託する業務に応じた十分な外部認証をクラウドサービスプロバイダが有しているか、契約時点で監査権を取得できるかということも選定時の重要な評価基準となります。

最後になりますが、“クラウドサービスを利用する場合においても、監督責任はクラウドサービスを利用するクライアント企業自身にある”ということを強く意識し、選定時には評価基準の検討、そして利用開始後には必要な認証の維持状況の確認および定期的な監査などにより、リスクの状況を管理されることを推奨します。





情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?