いまやその利便性の高さから多くの企業で導入が進んでいるクラウドツール。しかしその反面、クラウド利用に伴うセキュリティリスクも拡大傾向にあり、十分な対策の上で運用しなければ、甚大な被害を被るケースも想定されています。
今回は、総務省が提供しているクラウドセキュリティガイドラインの要点を紹介しながら、クラウドサービス利用時に頭に入れておきたいポイントを解説します。
- クラウドセキュリティガイドラインはクラウド利用に伴うリスクとその対策方法を国内に広めるために総務省が作成した
- ガイドライン策定の背景には世界的なICT活用とクラウドサービスの台頭があった
- ガイドラインを参照することで実務的なクラウドセキュリティを実現できる
クラウドセキュリティガイドラインとは
2021年9月、総務省は「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」を公表しました。
このガイドラインは同年7月から8月にかけて、一般公募でその内容に関する意見を広く求めた上で策定されたもので、最新かつ信憑性の高いセキュリティ対策手法がクラウドに関連付けてまとめられています。
参考:https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00121.html
クラウドサービス利用におけるセキュリティリスクの啓発と、リスクを回避するための対策方法についてガイドライン内で紹介されており、最新版となる第3版ではクラウドサービスにおける責任分界のあり方や国際規格等との整合性の観点をより重視した内容となっています。
クラウドセキュリティガイドラインの目的や内容
クラウドセキュリティガイドラインが作成されたのは、クラウド利用に伴うリスクの存在を広く認知し、その対処方法を国内に共有するためです。
デジタルトランスフォーメーション(DX)の認知拡大に伴い、多くの企業でデジタル活用が進んでいますが、それを満足に実現できるほどのリテラシーは普及していません。
クラウドセキュリティガイドラインを参考にしながら、リスクの小さいデジタル活用を進め、事業者やユーザーが被るクラウドサービス活用に伴うリスクを最小限に抑えることが目的です。
また、2022年7月より総務省では「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集もスタートしています。
参考:https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00141.html
概念的なガイドラインだけでなく、実践的なガイドライン策定にも取り組むことで、より現実的なアプローチを実現するためのきっかけ作りを同省では進めています。
クラウドセキュリティガイドラインの策定背景
総務省でクラウドセキュリティガイドラインが策定された背景としては、世界的なICT活用とクラウドサービスの台頭が挙げられます。
高度なクラウドサービスやIoTサービスが登場したことで、民間企業はもちろん、行政や地方自治体といった公的機関でもクラウド活用が進み、 各所で生産性の向上や業務効率化といった効果が見られています。
一方で最新技術である分これまでに想定していなかったリスクの存在も懸念されるようになり、その運用体制の見直しも求められています。
最近では新型コロナウイルスの拡大により、企業ではテレワークの導入などの働き方改革も急速に進んでいますが、オフィスワークの形式にとらわれなくなったことで、新しい脅威にさらされるリスクも現れつつあります。
このようなデジタル化に伴う業務体制の転換期にある中でも、小さなリスクでクラウドサービスを活用し、その恩恵を受けられるようにするために生まれたのがクラウドセキュリティガイドラインというわけです。
ガイドラインの活用を通じて、中小規模のクラウドサービス事業者に対して、独自のリスク分析の負担軽減や、優先的に取り組むべき対策の周知を実現し、結果として大企業とのギャップ解消が期待されています。
また、各事業者がクラウドサービス活用と連携を進めるにあたって、情報セキュリティ対策としての要件に同ガイドラインが適用され、必要なセキュリティ基準を満たす事業者が増加することも期待されています。
クラウドセキュリティガイドラインの読み方と利用方法
クラウドセキュリティガイドラインは多くの情報が記載されており、あらかじめその読み方を把握しておくことで情報収集を効率化できます。
ここでは同ガイドライン内にて提示されている、部門別に推奨されているガイドラインの読み方と利用方法について解説します。
経営層や組織長の場合
クラウドサービス事業者、あるいはクラウドサービス利用者の経営層や組織長に当たる場合の読み方ですが、同ガイドラインでは以下の3つの点が強調されています。
- 『I.序編』を読み、本ガイドラインの位置付け、利用方法、用語の定義等を確認
する。 - 『II.共通編』の対策を実施する。対策を実施する際には、ベストプラクティスを参
照すると良い。 - 『V.IoTサービスリスクへの対応方針編』を確認し、IoTサービスならではのリスクを
理解、事例等を確認する。
組織における意思決定者が求められるのは、そもそものクラウドサービスに対するリテラシーです。序編を参考にすることで、ガイドライン上で語られる利用方法や用語への理解を深め、意思決定の材料とすることが求められます。
『共通編』では、クラウドサービス利用において最も有効とされているセキュリティ対策の方法がまとめられているため、実際に対策を施す上での大きな参考となります。スタンダードな対策が行えているかどうかは、ここから判断すると良いでしょう。
『IoTサービスリスクへの対応方針編』は、IoT利用の独自リスクに関する解説が主な内容です。実際のケーススタディから被害と予防策を学び、主体的にセキュリティ対策を実現できるマインドセットを養えます。
【SaaS】セキュリティ担当者や管理者の場合
SaaS利用におけるセキュリティ担当者や管理者が押さえておくべきポイントは、
- 『I.序編』を読み、本ガイドラインの位置付け、利用方法、用語の定義等を確認する。
- 自らが提供又は利用するクラウドサービスがどのパターンに該当するかを確認し、 『II.共通編』及び『III.SaaS編』に基づいて対策を実施する。「基本」の対策から優先的に実施し、さらに「推奨」の対策を実施することが望まし い。対策を実施する際には、ベストプラクティスを参照すると良い。また、評価項目の 対策参照値を目安とし、対策の実施レベルを判断することも可能である。
- 『V.IoTサービスリスクへの対応方針編』に基づき、IoTサービスならではのリスクに 対する対応策を確認し、具体的に実施することが望ましい。
とされています。
基本的なポイントは経営層の場合と変わりませんが、『III.SaaS編』に基づいた対策の実施が求められていることは大きな相違点です。より具体性のある対策方法に踏み込んで紹介しているので、現場での意思決定に有益な材料となるはずです。
クラウドセキュリティガイドライン【共通編】
ここでは、セキュリティガイドラインに記載されている情報セキュリティのための組織のあり方や、情報資産の管理方法についてご紹介します。
情報セキュリティのための組織>内部組織
ガイドラインでは、クラウドサービスを利用することは「外部組織のシステム環境を利用して内部環境を構築すること」と定義しています。
そのため、どこからどこまでの範囲において自社でセキュリティ上の責任を取り、何を外部の責任とするかを明らかにすることが、セキュリティ対策の前提であると考えられています。
この前提をクリアした上でのベストプラクティスとして、同ガイドラインでは組織全体にわ たる情報セキュリティに責任を持つ情報セキュリティ責任者を任命し、人員・資産・予算等のリソース面で積極的な支援・支持を行うことを提案しています。
必要となる調整が適切に行われるよう、関連する役割を定め、組織の規模によっては取締役会などが情報セキュリティ責任者の役割を担ってもよいとしています。
また、専門的な助言が必要な際には内外を問わず専門家から積極的なアドバイスを受け、経営者は社内で情報セキュリティ責任者の育成に努めることも提案しています。
情報セキュリティのための組織>モバイル機器及びテレワーキング
クラウドサービスの活用はテレワークの導入と業務効率化を促しますが、十分な情報セキュリティ対策が求められます。
モバイル機器の活用は、通常のPC活用とは異なるリスクをもたらします。そのため、同ガイドラインではそのリスクを認識の上、適切な利用方針を定めた上でそこから外れてしまわないための仕組みづくりを必要としています。
リモート環境や公共Wi-Fiの利用など、保護下に置かれていない環境でのモバイル機器利用の可能性を考え、ソフトインストール制限や物理的な保護対策、マルウェア感染対策の実施など、活用ルールを仕組み化することをベストプラクティスとして紹介しています。
また、テレワークそのものを許可する上では、テレワーク環境の物理的セキュリティやネットワーク環境の制限、個人所有機器の扱いについての取り決めも行い、基準を満たした環境を維持できる仕組みづくりが推奨されています。
情報資産の管理>情報資産に対する責任
ビッグデータ時代と呼ばれるように、いまやあらゆる情報は企業の資産として重視されているだけでなく、第三者に渡ることで悪用の危険があるデリケートな資産として扱われています。
ガイドラインでは、例えば個人情報のような資産価値の高い、保護すべき情報を守るための責任の所在の明確化と、流出を防止するための仕組み化を推奨しています。
また、管理責任者の役割を見直し、管理に伴うレビュー業務の定型化とその記録の保管管理をベストプラクティスの一種として提案しています。
事業者間の引き継ぎはその手続きを文書化したり、サイバー犯罪に備えたバックアップを確保したりと、情報資産管理の体制の刷新が求められている点に注目しましょう。
情報資産の管理>情報の分類
情報資産の適切な管理のためには、情報の重要性に基づく分類も必要だとガイドラインでは提唱しています。
情報資産の価値を見直し、法的要求に基づく管理体制の見直しや、適切な情報分類と資産目録の作成が求められています。
情報資産の管理責任者の決定や、情報資産の分類結果を従業員に周知し、その取り扱いについての注意喚起をすることも重要です。
情報資産の管理>アクセス管理
情報資産に対してどのようにアクセスし、どうやって不正アクセスを回避するかというのもセキュリティ対策を考える上では大切です。
ガイドラインでは、クラウドサービスへのアクセス権を利用者が管理できる仕様にすることをクラウド事業者に求めており、アクセス権限の細分化によってリスクに応じた強力な認証機能を実現することが大切としています。
プログラムソースコードへのアクセスやアクセス制御、なりすまし対策といった取り組みも、基本的な施策としてクラウドサービス利用者へ強く導入を呼びかけています。
従業員に係る情報セキュリティ>雇用期間中
クラウドサービスを利用する従業員のリテラシー向上も、リスク管理を適切に行うためには大切な取り組みです。情報セキュリティに関する基本的な方針を丁寧に共有するとともに、秘密保持契約書に署名を求め、責任の所在を明確にすることを推奨しています。
雇用中はもちろんですが、雇用後も一定期間は守秘義務の遂行を求めるなどのリスク回避に向けた取り組みを提唱し、セキュリティ対策に貢献することが掲げられています。
また、契約違反が起こった際に適切な処罰が行えるよう、あらかじめその処遇について細かく定めておくことも、契約違反を未然に防ぐ上で有効な取り組みです。
クラウドセキュリティガイドライン【SaaS編】
SaaS運用におけるクラウドセキュリティにおいても、当ガイドラインでは丁寧に紹介されています。ここではガイドラインから一部の情報を抜粋し、紹介します。
運用における情報セキュリティ>運用管理
サービスの運用管理においては、まず情報セキュリティ監視手順の策定が基本とされています。運用管理の体制を定型化するとともに、管理責任者はその報告業務においてレビューを実施し、実施内容の改善にも取り組むことを推奨しています。
万が一システム障害などが発生した場合、監視結果の報告内容、報告時期、報告先等の実施基準・手順等をあらかじめ明確にしておき、速やかな追加報告などを利用者に提供することが求められています。
アプリケーション>アプリケーションの情報セキュリティ対策
アプリケーション上で取り扱う情報資産についても、念入りなセキュリティ対策が求められています。リアルタイムスキャンなどを取り入れた基本的なウイルス対策はもちろんのこと、公衆ネットワーク上で使用された際のセキュリティ対策の徹底も周知し、トラブルの発生の予防を提唱しています。
また、不必要なパッケージソフトウェアの変更はできる限り控え、意図しないセキュリティホールの発生を抑え、変更内容の厳重管理を掲げています。
アプリケーション>データの保護
情報資産は流出の懸念だけでなく、消失の懸念もあるため、ガイドラインではこういった事態を回避するための取り組みが強く求められています。
バックアップを漠然と用意するのではなく、業務要件、セキュリティ要件等を考慮して、バックアップ方法、バックアップ対象、バックアップの世代管理方法、バックアップのリストア方法などを細かく定めておくことが推奨されています。
また、バックアップデータの完全性を保つためにも定期的な復旧試験を実施するなどして、ファイルをリストアし、ファイルサイズを確認することを提携業務として取り入れることをすすめています。
クラウドセキュリティガイドラインを積極的に活用しよう
総務省が発表しているクラウドセキュリティガイドラインは、クラウドサービスの適切な運用を促す上で民間の意見も取り入れた、信憑性の高いガイドとして仕上がっています。
ベストプラクティスとしての詳細な取り組み方についても言及されているため、これから情報セキュリティ強化を進める、あるいはクラウドサービス導入を進めることを検討している場合は、一度目を通しておくことをおすすめします。