セキュリティ対策vol.05|ご存じですか?クラウドサービス利用時の利用者責任
複雑化するクラウドサービス利用時のポイントとは
総務省では、昨今のクラウドサービスの提供形態の複雑化により、責任範囲があいまいとなっていることから、「クラウドサービス提供における情報セキュリティ対策ガイドライン」を発表しました。
新ガイドラインでは、クラウドサービス事業者及びクラウドサービス利用者のそれぞれの責任範囲において、クラウドサービスを安全 ・安⼼に提供・利用するための情報セキュリティ対策が不可⽋であるとされており、適切な情報セキュリティ対策を実施するための指針として位置付けられています。
いわば国としての一定の指針が示されているもので、利用者が押さえておきたいポイントや、事業者がクラウドサービスを提供するにあたって開示するのが望ましい情報などがまとめられているものになります。
今回は総務省の発表を元に、利用者の留意するポイントをまとめてみました。
- 総務省 クラウドサービス提供における情報セキュリティ対策ガイドライン
https://www.soumu.go.jp/main_content/000771515.pdf
クラウドサービスの利用者責任とは
クラウドサービスは、組織外部での利用が前提であるにも関わらず、機能の追加や改修などのバージョンアップ等の頻度が多いため、情報セキュリティ管理が不十分になりがちです。
そのためサービスの利用にあたっての明確化が求められることからガイドラインが作成されました。
クラウドサービス利用者責任とは、クラウドサービス事業者が提供するデータに対する編集 ・削除等の行為をする責任を有するとされています。
ガイドラインでは「クラウドサービス利用者は、仮想環境上で動作している OS を含めたすべてのソフトウェアの管理を行う。OS やミドルウェア層での障害対応や、ミドルウェアに対するパッチ適応やぜい弱性対応などは、クラウドサービス利用者の責任となる。」と明記されていることからも、「必要な環境を提供してもらう」という意識ではなく「必要な環境を整える」ことが利用者として必須になったと言えます。
以下のダウンロードボタンから「セキュリティチェックリスト」のダウンロードが可能です。
ご自身でのセキュリティレベルの確認にぜひお試しください
クラウドサービス利用時の環境整備、3つのポイント
それではクラウドサービス利用時の環境整備とはどのようなことが考えられるでしょうか。
3点に絞ってみてみましょう。
PC環境の整備
ウィルス対策ソフトや、OSの最新版へのバージョンアップなど必要な措置を講じることになります。
これらを会社内だけでなく、リモートワークまで含めた個人の環境を整えることになります
ネットワークの整備
通信傍受や内部ネットワークのトラブルなどに備えて、どのようなネットワークを利用しているのかの理解が必要になります。
先の項目と同様にリモートワークでのVPNの構築や、利用している回線の種類等も確認するべきでしょう。
ID管理
クラウドサービスでは当たり前のことですが、IDの利用があります。
更新はされるものか、パスワードは堅牢なものなのか。組織内で利用するものであれば共有のIDやパスワードを利用する場合もあります。
それらの利用が適切に行われているかの確認が必要となります。
<ご相談はアストンへ>
経済産業省が公開したクラウドセキュリティガイドラインは、何度も改定を重ねており、世界標準の基準と照らし合わせても齟齬が無いように設計をされています。
適切なクラウドサービスを選ぶには、最新のセキュリティにも対応をしているのか、なおかつ自社の環境に合わせた運用ができるのか、などさまざまな見極めが必要になります。
アストンでは豊富な事例から、決定までの手助けや運用までをアドバイスさせていただきます。
まずはお気軽にご相談ください。
株式会社アストン TONグループ
https://aston.jp/contact/