クラウドサービスのセキュリティ対策を確認する3つの方法
クラウドサービスは、SaaS、PaaS、IaaSの3つに分けられます。SaaSは、クラウド事業者が提供するインターフェイスを通じてソフトウェアを利用します。クラウド利用者は、システムの管理を気にすることなくソフトウェアをすることが可能です。Googleなどのサービスをイメージしていただくと良いと思います。
PasSは、特定業務のためのプラットフォームを提供するサービスです。例えば、Webサービス、ECサイトのプラットフォームサービスなどが代表的です。クラウド利用者は、OSやサーバを購入しなくても、一定のリソースを間借りすることが可能です。
IaaSは、サーバなどのインフラを提供するサービスです。クラウド利用者がサーバ、ストレージ、ネットワーク等のシステムを自ら設定し運用することが可能です。クラウド利用者は事業者が用意したハードウェアやネットワークのリソースを組み合わせて、好きなようにシステムを構築できます。
クラウドサービスのセキュリティ対策を考える上では、SaaS、PaaS、IaaSそれぞれで異なるセキュリティ対策を検討する必要があります。クラウド利用者とクラウド事業者の責任範囲の差はありますが、クラウド利用者自らが管理できない部分があることは共通しています。
クラウド利用者が管理できない部分があるからといって、情報管理の責任を放棄できるわけではありません。少なくとも管理実態についての情報を収集してリスクアセスメントを行う必要があります。では、クラウド利用者から見えない部分についてはどのように情報収集すればいいのでしょうか?
クラウドサービスのセキュリティ対策を確認する3つの方法
JASA-クラウドセキュリティ推進協議会は「クラウド選びで困ったら〜要求仕様作成と提案書評価のための基礎知識〜」の中で、クラウドサービスの情報セキュリティ対策を確認する3つの方法を紹介しています。
① クラウド事業者から提供される情報
クラウドサービス事業者のセキュリティ対策については、クラウド事業者が発信している以下の情報から読み取ることが可能です。
- クラウドサービスの機能を説明した資料
- クラウドサービスの契約内容や条件を説明した資料
- クラウドサービスのセキュリティに関して説明した資料
②第三者認証に関する情報
クラウド事業者は、自身が実施しているセキュリティ対策について、信頼できる第三者からセキュリティ対策が適切であるか評価し認証を受けている場合があります。クラウドサービスのセキュリティについての第三者認証として、主要なものは以下です。
・ISO27001(JISQ27001)
ISO27001は、情報セキュリティマネジメントシステムを構築・運用し、継続的に改善するための規格です。コンピューターシステムのセキュリティ対策だけでなく、情報セキュリティポリシーや、それに基づいた具体的な計画・実施・運用・見直しまでを含めた情報セキュリティのリスクマネジメント体系です。
なお、クラウドセキュリティ認証のために、情報セキュリティマネジメントシステムを拡張したISO27017(クラウドサービスに関する情報セキュリティ管理策のガイドライン規格)も発表されています。ISO27001とISO27017の両方の認証を取得することで、クラウドサービスセキュリティへの堅実な取り組みを対外的にアピールすることも可能です。
・FISMA(Federal Information Security Management Act of 2002)
FISMAは、アメリカ国立標準研究所(NIST)が規定した情報セキュリティ基準です。連邦政府機関や、連邦政府機関より業務委託を受けている民間の外部委託先に対しては、FISMAによる情報セキュリティ対策の実施を法律で義務付けられています。
・PCI DSS(Payment Card Industry Data Security Standard)
クレジット業界におけるグローバルセキュリティ基準です。PCI DSSでは、「侵入テストの回数と時期」「パッチリリース後の提供までの期間」「ログオン失敗時のロックアウト」等、情報セキュリティに対する具体的な実装を紹介しています。
第三者認証については、認証資格を保有していないよりも、保有していた方が望ましいわけですが、必ずしも認証資格を保有しているからといって、クラウドサービスのセキュリティ対策が万全であるとは限りません。
③セキュリティのホワイトペーパー
クラウド事業者のセキュリティ対策については、事業者自らが説明資料(ホワイトペーパー)にまとめることが多くなっています。ホワイトペーパーを確認することで、データセンターやユーザーアカウント等に関するセキュリティ対策を確認することが可能です。
例えば、Amazonが運営している国内最高レベルのデータセンターであるAWS(Amazon Web Services)のセキュリティ対策については「AWSクラウドセキュリティ」にて確認できます。
参考:JASA-クラウドセキュリティ推進協議会は「クラウド選びで困ったら〜要求仕様作成と提案書評価のための基礎知識〜」
クラウドサービスのセキュリティが心配なら「AOSデータルーム」
クラウドサービスのセキュリティ対策が心配なら、機密データも保管でき、セキュリティ対策が万全のファイル共有サービス「AOSデータルーム」をおすすめします。
「AOSデータルーム」は、国内最高レベルのデータセンターでAWSを基盤に構築されています。さらに、保管するデータやネットワーク通信の暗号化も行っているため、機密データも安心して保管することが可能です。絶対に漏洩してはいけない機密データを関係者に共有したい場合にはおすすめのクラウドサービスです。
