クラウドサービス提供における情報セキュリティ対策ガイドラインとは

「クラウドサービスの提供における情報セキュリティガイドライン」とは、経済産業省が2011年4月に公開したガイドラインで、クラウドサービスの利用者向けに提供されているものです。「クラウドセキュリティガイドライン」と呼ばれることもあります。

2011年4月に公開されてから2度改定されており、2022年5月現在は第3版が公開されています。クラウドサービスを利用する上で利用者が押さえておきたいポイントや、事業者がクラウドサービスを提供するにあたって開示するのが望ましい情報などがまとめられています。

クラウドセキュリティガイドラインが策定された背景

クラウドセキュリティガイドラインが策定されるまでは、クラウドサービスの利用者・提供する事業者双方にとっての運用ルールが明確ではなく、サイバー攻撃による不正アクセスや情報漏洩、ネットワークトラブルなどの問題が全国的に頻発していました。

そのため、悪意ある第三者からの攻撃から身を守る目的で「クラウドセキュリティガイドライン」を策定し、クラウドサービスの運用ルールを明確に定めたというのが策定の背景です。また、日本企業が海外で提供されているクラウドサービスを安全に利用する目的で、日本は2010年10月のベルリン会合において英訳版のクラウドセキュリティガイドラインも提案しています。

そして2015年12月には「ISO/IEC27017」と呼ばれる、クラウドセキュリティガイドラインがベースとなった国際標準規格が誕生しました。

改訂のポイント

前述のとおり、クラウドセキュリティガイドラインはこれまでに2度改定されています。1度目は2014年3月、2度目は2021年11月にそれぞれ改定・公表されました。2014年の1度目の改定においては、「ISO/IEC27002：2005」と呼ばれる国際規格をベースとして、クラウドサービスの利用者と提供者がそれぞれに押さえておくべきリスクに関する記述が追加されています。

また、このタイミングでセキュリティ対策の具体例をまとめた活用ガイドブックも公開されています。活用ガイドブックを参照することで、クラウドセキュリティガイドラインの考え方がより分かりやすい形で示されています。

2回目の改定では、サービス提供が複雑化している事情に合わせてSaaS、IaaS、PaaSの特徴を追記したほか、クラウドサービス同士の関連性を前提とした責任分界点について記述しています。また、これに伴い全体的な章立てを整理するとともに、国際規格の「ISO/IEC27017:2016」や「NIST SP800-53 rev.5」の内容と矛盾が生じないようにセキュリティ対策の内容が改定されました。

クラウドサービスを選定する際に注意すべきリスク

クラウドサービスを選定するときは、リスクもあることを理解した上で利用するかどうかを決定することが重要です。ここでは、選定時のポイントや考慮しておきたいリスクなどについて解説します。

選定時のポイント

クラウドサービスの選定時は、次の3つのポイントに注意する必要があります。

必要な機能を明確化する

クラウドサービスを選ぶにあたって、「自社が必要としている機能は何か」を明確にしておきましょう。必要な機能が何かを明らかにするということは、「クラウドサービスを利用する目的をはっきりさせる」と言い換えることもできるでしょう。

何のためにクラウドサービスを導入するのかが明確になっていなければ、必要な機能がどの範囲なのかを把握することはできません。クラウドサービスを導入したい理由を明確にし、その目的を達成できるような機能を網羅しているサービスを選定することが求められます。

サポート体制を把握しておく

クラウドサービスの選定時は、サポート体制を把握しておくことも重要です。サポートが不十分な事業者と契約してしまうと、トラブルが起こったときに解決までに長い時間がかかり、業務停止時間が長引いて事業に甚大な影響を及ぼす可能性があるためです。

サポート対応はメールのみや電話対応、訪問対応などさまざまですが、最低でも電話対応が可能な事業者を選ぶことをおすすめします。メールのみのサポート対応は返信が来るまでに時間がかかりやすく、トラブルが長期化する原因になります。

試用期間の有無を確認する

クラウドサービスには試用期間が設けられていることも多いため、利用を検討しているサービスの試用期間の有無を確認しておきましょう。試用期間があれば契約を開始する前に機能をひと通り利用して使い勝手を確認できるため、本格的に運用を開始してから使い勝手の悪さが原因で解約してしまうリスクを軽減できます。

試用期間がないクラウドサービスを選定する場合は、担当者にデモを見せてもらったり十分な説明を受けたりしてから、できるだけ疑問を解消した状態で契約することが大切です。

選定時に考慮しておくべきリスク

クラウドサービスの選定時に考慮しておきたいリスクとしては、次の6つが挙げられます。

インフラ

クラウドサービスのインフラリスクには、データの外部流出やなりすまし被害による情報漏洩のほか、内部担当者のオペレーションミスによるデータ喪失などがあります。

なりすまし対策として証明書を利用した認証を行ったり、オペレーションの精度を高めるためのマニュアルを作成したりといった対策が考えられます。

ネットワーク

ネットワークのリスクとしては、通信傍受や内部ネットワークのトラブル、VLANのトラブルなどが挙げられます。通信傍受に備えてデータの暗号化を実施したり、ネットワークの構成を適切に管理したりすることが大切です。

仮想化基盤

仮想化基盤の観点からは、トラブル対応が上手くいかずにサービス停止が長引いたりデータが喪失したりするリスクが考えられます。事前に社内のデータを他の拠点やデータセンターなどに二重バックアップしておく、システムをすぐに復旧させられるように開発工程のひな型を作っておくなどの対策が必要です。

サービス基盤

サービス基盤のリスクには、認証サーバーや決済サービスを対象としたサイバー攻撃が挙げられます。認証サーバーに対するサイバー攻撃には、サービスを冗長化して攻撃を受けたときにすぐに復旧できる体制を整えたり、サービス構成図を作成してサービスの全体像を把握しておいたりする対策が効果的です。

統合管理環境

統合管理環境には、ネットワーク上の全リソースに対し悪意のある第三者によって不正アクセスされるリスクがあります。不正アクセスを防止するためには、各ユーザーのアクセス権を適切に設定するとともに、不正侵入検知システムなどを導入して監視体制を強化し、不正アクセスを見逃さないことが重要です。

ID管理

ID管理の観点では、ネットワークを通じたサイバー攻撃やIDフェデレーションのトラブルが原因でクラウドサービスにアクセスできなくなるリスクが考えられます。サイバー攻撃については、多要素認証や二段階認証を設定して第三者が容易にシステムへ侵入できない体制を整えるといいでしょう。

IDフェデレーションとはシングルサインオンや多要素認証を提供するシステムのことで、1つのログインIDやパスワードでさまざまなクラウドサービスにログインできるようにした状態でIDフェデレーションにトラブルが起こると、全てのサービスにアクセスできなくなる可能性があります。
サービス別にIDレベルを適切に管理し、あらゆるサービスに一律でログイン不可となる状況を回避しましょう。

クラウドサービスのセキュリティ対策

クラウドサービスの種類は主にSaaS、PaaS、IaaSの3つに分かれますが、それぞれに適切なセキュリティ対策を講じることが大切です。ここでは、各サービスの概要や代表的なサービス、対策例などを紹介します。

SaaS

SaaSとは「Software as a Service」の略称です。クラウド基盤上でソフトウェアを提供するサービスのことであり、一般的には「サース」や「サーズ」と呼ばれています。利用者は事業者からIDとパスワードの発行を受けた上で、インターネットを通じてサービスにログインしてサービスを利用します。

サーバーの管理は事業者側が担うため、アップデートを意識せずに最新のセキュリティを維持できるのがメリットです。また、インターネットに接続できる環境があればどこからでも利用できるため、リモートワークなどにも適しています。

代表的なサービス

対策例

SaaSのセキュリティ対策例としては、IDとパスワードを利用したログイン認証や、データ誤送信防止のための送信確認画面、データ持ち出し防止のための外部媒体接続の制限などが考えられます。

Paas

PaaSとは「Platform as a Service」の略称であり、事業者がクラウド環境上に構築したプラットフォームを、開発環境として利用可能なサービスです。読み方は文字どおり「パース」と呼ばれています。

事業者側が用意したクラウド基盤に、アプリケーションやソフトウェアを動作させるためのプラットフォーム（サーバー、ネットワーク、OS、ミドルウェア等）を構築し、利用者側はそのプラットフォームを間借りするようなイメージです。

代表的なサービス

対策例

プラットフォームに問題が起こっていないかどうか定期診断を実施し、定期的に脅威を取り除くことが大切です。また、インシデントが発生したときの対応をあらかじめ決めておき、社内のセキュリティルールに乗っ取って迅速に対処しましょう。さらに、業務上の責任範囲を明確にしておき、問題が起こったときに速やかに原因を特定できる環境を整えることも重要になります。

Iaas

IaaSは「Infrastructure as a Service」の略称です。事業者側がクラウド基盤上に用意したネットワーク、CPU、ストレージ、メモリなどの各種リソースを利用者へ提供するサービスです。読み方は「イアース」や「アイアース」が一般的です。

IaaSとPaaSは一見似たサービスのようにも思えますが、実際には少し異なっています。IaaSはCPUやストレージ、メモリなどの「リソースそのもの」を提供するサービスですが、PaaSはリソースを活用して構築された「開発環境（プラットフォーム）」を提供するサービスであるという違いがあります。

Iaas登場前は自社でサーバーを構築し、開発環境を確保しなければなりませんでした。しかしIaaSの登場により、開発環境を整えるためのリソースを必要な分だけ必要なタイミングで手軽に利用できるようになりました。IaaSを利用することによって定期的なサーバー更改が不要になるだけでなく、メンテナンスのためにサーバー管理者を配置する必要がなくなるというメリットもあるのです。

代表的なサービス

対策例

IaaSのセキュリティ対策は、脆弱性を突いたサイバー攻撃への対策や、セキュリティに関する正しい知識を養うための社員教育のほか、高いセキュリティ知識を持った専門スタッフの配置などが挙げられます。

Microsoft 365 のセキュリティ対策ができる SYNCPIT

リモートワークが広く普及しつつある中で、インターネットを通じてOffice 365を利用でき、グループウェアの機能も備えたMicrosoft 365のユーザーが増えています。しかし、監査ログの利用状況についてアンケートを行ったところ、多くの企業で適切な監査体制が整っていないとみられる結果が明らかになりました。

エムオーテックスが独自で行ったアンケート結果では「監査ログを知らない」「チェックしていない」「見ていない」と答えたユーザーが全体の48.7%を占めており、およそ2人に1人が自社のMicrosoft 365の利用状況を正確に把握していないという結果が出ています。

監査ログをチェックするための知識がない、どのように対策すれば良いか分からないという方には、SYNCPITの導入がおすすめです。チャットボットが総務部門のバックオフィス業務を効率化するとともに、Microsoft 365との連携を行いセキュリティインシデントのアラート設定を行えます。

まとめ

経済産業省が公開したクラウドセキュリティガイドラインは、現在までに改定を重ねており、世界のセキュリティ基準を踏襲しながらクラウドサービスの利用者と提供者双方にとっての指針を示しています。
クラウドサービスの選定時にはさまざまなリスクを考慮した上で、自社に必要な機能を明確化し、サポート対応もよく考慮して自社に適したサービスを導入しましょう。

Microsoft 365と連携可能なSYNCPITの詳細については、こちらをご覧ください。