セキュリティ情報

2017/12/08

クラウド本格利用に必要なリスクマネジメント
– 法規制から見るセキュリティ管理上の重要課題と対応策 –

●企業がクラウド利用時に考慮すべきリスクとは

クラウドを本格的に利用する動きが加速している。クラウドが登場した初期の段階では、低コストですぐに利用できるなど「安くて簡単」であることが重視された。
しかし、最近は企業の基幹業務をクラウド上に実装するケースが増加している。そのような背景から、クラウドに対しては高い信頼性やセキュリティが求められる流れに変わりつつある。

他テナントとコンピュータリソースを共用する「一種の公衆サービス」というのが、クラウドの本質だ。ゆえにクラウド上で企業が重要な業務やデータを取り扱うのであれば、企業内のネットワークのみで完結するシステムと比較し、より高度なリスクマネジメントが必要となるわけだ。

欧州ネットワーク情報セキュリティ庁(ENISA)のガイドライン(*1)によれば、クラウドのリスクは図1のように分類される。クラウドの利用者は、利用検討→事業者選定→契約締結→利用(運用)→契約終了というライフサイクルにおいて、各フェーズでそれぞれのリスクに対応しなければならない。これらリスクへの対策を漏れや矛盾なく実施するため、あらかじめ利用者とサービス提供事業者の責任分界を明確にしておくことが大きなポイントとなる。

(*1) https://www.ipa.go.jp/security/publications/nist/index.html


図版1:クラウドサービスの情報セキュリティに関わるリスク

●日本発のクラウドセキュリティ国際規格 ISO/IEC 27017

クラウドの利用者は重要な業務やデータをクラウド事業者に預けることになるため、利用者自身が事業者から独立してセキュリティ管理を完結させることは不可能だ。クラウド利用者は、事業者からサービス基盤に関する情報やセキュリティ管理機能等の提供を受け、それらを踏まえた上で自組織の責任範囲におけるセキュリティ管理を行うことになる。


図版2:クラウド利用者・提供者の責任分界

クラウドでセキュリティ対策を行う際、日本から ISO に提案し、国際規格となった「ISO/IEC 27017」が役に立つ。これは経済産業省による「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」(*2)をもとに規格化されたもので、2015年12月に発行された。

(*2) https://www.ipa.go.jp/security/publications/nist/index.html

「ISO/IEC 27017」は、「ISO/IEC 27001・27002」を拡張するもので、クラウド事業者と利用者がそれぞれの責任で実施すべきセキュリティ対策や、事業者が利用者のセキュリティ対策を支援するために実施すべき情報・機能提供の要件なども規定されている。

すでにGoogle、Amazon、Microsoftなど多くのクラウドサービス事業者は、ISO/IEC 27017に基づく認証を取得している。とはいえ、認証を取得した事業者を選定すれば利用者側のセキュリティが自動的に確保されるというわけではない。上述のとおり、クラウド上のセキュリティは、利用者と事業者の共同作業の結果として得られるものである点を忘れてはならない。

●クラウド利用に関する業界標準・法規制の動向

さまざまな業界標準や法律、規制等においても、クラウド利用に関する改訂が活発に実施されている。代表的なものをいくつかを紹介しよう。

・金融機関等コンピュータシステムの安全対策基準・解説書

日本の金融機関で参照される基準に、金融情報システムセンター(FISC)の 「安全対策基準」がある。第8版追補(2013年)でクラウド固有の基準を新たに追加し、第8版追補改訂(2015年)で拡充された。

・政府機関の情報セキュリティ対策のための統一基準群

内閣サイバーセキュリティセンター(NISC)が発行する日本の政府機関向け「統一基準」では、平成28年度版でクラウドに関する規定が盛り込まれた。FISCの基準と比較しても同様の観点や範囲を網羅していることがわかる。

・改正個人情報保護法

クラウドサービスではその性質上、クラウド上に預託した個人情報が国境をまたがり、送受信される可能性がある。改正前の個人情報保護法では日本国外へのデータ移転は制限されていなかったが、2017年に施行された改正法では規制を追加。原則として日本と同レベル以上の保護体制を持つ国に対してのみ移転が認められるようになった。

・EUデータ保護指令/一般データ保護規則(GDPR)

EUでは現行のデータ保護指令のもと、EU域外への個人データの移転は制限されている。原則としてEUと同等以上の十分な保護レベルが認められた国に対してのみ、個人データの移転が許可されており、2018年に施行される一般データ保護規則(GDPR)にも同様の制限が引き継がれる。日本はEUから保護レベルの十分性認定を得られておらず、EUの個人データを日本に持ち出すには、当事者企業と監督当局の間での例外承認手続き等が必要となる。

表1:クラウド固有の対策基準の例
FISC 安全対策基準 第8版追補改訂
【運108】 • 利用目的と事業者選定の手続きを 明確化、事業者を客観的に評価
• データの所在と国内法以外の法令が 適用されるリスクを把握
【運109】 • 適切な安全対策やSLAを含む契約 を締結
• 契約解除時のデータ移行手段の確 保 (ベンダーロックインの防止)
【運110】 • 利用中のデータ漏えい防止策
【運111】 • 契約終了時のデータ漏えい防止策
【運112】 • 事業者への立入監査・モニタリング

政府機関 統一基準 平成28年度版
4.1.4(1) クラウドサービスの利用における対策
  • • 取り扱う情報の機密性等に応じてクラウドに預託することの可否を判断
  • • 事業者選定時、国内法以外の法令が適用されるリスクを評価
  • • 事業者選定時、サービス中断・終了時のデータ移行手段を確保(ベンダーロックインの防止
  • • 情報流通経路全般のセキュリティを確保するようセキリュティを確保するようセキュリティ要件を定める
  • • 事業者選定時、事業者(および委託先)の信頼性を総合的・客観的に評価

●クラウド上でのデータガバナンスの実現:DLP と CASB の活用

各基準等でも示されているように、クラウド利用者は、事業者の信頼性を慎重に精査した上で、クラウドに預託する業務やデータに対するガバナンスについて、自らも確立しなければならない。

まずは「どのような業務データ」が「どこに所在するか」。「どのように保護されているか」「いつ消去されるのか」等を自組織で掌握し、管理する必要がある。それには、データの保管や利用、流通状況の棚卸し(データマッピング)を行い、管理ルールに違反したデータを検出し、継続的に改善していく。こうした作業には、データの監査や保護を行える「DLP(Data Loss Prevention)が最適なソリューションと言えるだろう。

DLPといえば、従来は主に社内のデータ管理に利用されてきた経緯があるが、最近ではクラウドストレージ上のデータにも適用できるよう機能拡張が進んでいる。すでに社内向けのDLPを運用していれば、それらデータ監査や保護ポリシーをそのままクラウドへ適用して社内と同等のデータガバナンスをクラウド上で実現できる。

さらにCRM、ERP等の多様なクラウドサービスや、「シャドーIT」とも呼ばれる未承認のまま利用されるクラウドサービスなど、広範なリスクを管理するには、「CASB(Cloud Access Security Broker)」が有効だ。既存のDLPと連動するCASB製品を採用すれば、ポリシーの開発・調整等に新たな手間も発生しない。あらゆるクラウドの利用環境を統合したリスクマネジメントシステムを効率よく構築できる。


図版3:DLP と CASB による 統合データガバナンスの実現

セキュリティ情報トップへ戻る

シマンテック セールスインフォメーション(法人のお客様向け)

※2014年2月17日よりお問い合わせ番号が下記のものに変更となりましたのでご注意ください。

電話でのお問い合わせ
03-4540-6226
受付時間:10:00~12:00、13:00~17:00
月曜日~金曜日(土・日・祝日を除く)
WEBからのお問い合わせ
お問い合わせフォーム
セキュリティの緊急事態発生時は
インシデントレスポンスサービス
Email : incidentresponse@symantec.com
0066-33-813-303(フリーダイヤル 9:00-17:30* )
*時間外は留守電もしくは英語対応になります。
お問い合わせの前に
お問い合わせが集中しお電話がつながりにくくなる場合がございますが、水曜日、金曜日は比較的お電話がつながりやすい傾向にあります。
なお平日の10:00~11:00及び15:00~17:00の時間帯はお待たせする可能性がございます。また月末月初やGW/夏休み前後、年末にはお問い合わせが集中することが予想されます。