セキュアなクラウド利用のためのアセスメントとガイドラインのすゝめ

2021/01/22
はじめに
コロナ禍によるテレワーク体制の増加に伴い、お客様の多くがクラウドサービスのセキュリティ対策について課題をお持ちであり、弊社にもお問い合わせをいただいております。
2021年1月現在(コラム執筆時点)、11都府県では2度目の緊急事態宣言が発出されておりますが、これに伴い、テレワーク体制の強化を考えられているお客様も多いのではないでしょうか。
そこで今回は、ガートナーの調査においてもクラウドサービスの中で最も導入率が高いとされる、SaaSのセキュリティ対策に焦点をあて、第1段階のガバナンス構築について取り上げたいと思います。
ガバナンス構築
ガバナンス構築においてポイントとなるのは以下の2点になります。
クラウドサービス(SaaS)に配置する資産に対するアセスメントの実施
クラウドサービス(SaaS)を利用するためのポリシー・ガイドラインの作成
なお、アセスメント手法やポリシー・ガイドラインの作成手順は、クラウドサービス(SaaS)だからと言って特殊な方法が必要なわけではなく、従来のISMSにおける方法と基本的には同じです。
ただし、クラウドサービスのセキュリティ対策においては、クラウド事業者と利用者で責任を分担する責任共有モデルが存在します。
一般的には、クラウドサービス(SaaS)における利用者の責任範囲はデータ・コンテンツであり、アプリケーション以下はクラウド事業者の責任範囲とされています。
(図1)クラウド責任範囲イメージ
(図1)クラウド責任範囲イメージ
クラウドサービス(SaaS)を活用することにより、自社システムの管理削減や利便性のメリットを享受できる反面、クラウド事業者のサービス提供範囲や機能に依存してしまうデメリットも存在します。
その点を考慮したアセスメント実施とポリシー・ガイドラインの作成が必要です。
クラウドサービス(SaaS)に配置する資産に対するアセスメントの実施
クラウドサービス(SaaS)に資産配置が可能であるかを、発生しうるリスクをふまえて評価します。
クラウドサービス(SaaS)に配置予定の資産とその重要度を把握します。
クラウドサービス(SaaS)を利用するにあたり、想定されるリスクを明らかにします。
図のようなリスクが主に想定されます。
(図2)クラウドサービス(SaaS)利用において想定されるリスク
漏洩・改ざんリスク
利用者ごとのアクセス権限を設定できない
接続元を識別したアクセス制限機能が提供されていない
アクセス履歴が取得できない
パブリッククラウドの場合に、利用者ごとの分割が不適切で別の利用者にアクセスされてしまう可能性がある
クラウド事業者が保管したデータに対して不必要にアクセスできてしまう
サービス利用終了後のデータの取扱いが不明瞭な場合がある
アクセス不能リスク
サービス利用時間が制限されている
サポート体制が整備されていない
障害時のサービス復旧時間が定義されていない
利用頻度が低いと、サービス利用停止に気づかない場合がある
消失リスク
クラウド事業者の一方的な都合により、サービスが終了する
保管されているデータ形式によっては別のクラウドサービスに移行できない
利用者側でバックアップが取得できない
クラウド事業者がバックアップの内容・頻度などを規定していない
地域法令・特性リスク
クラウド事業者が一方的にサービス約款を変更してしまう
利用者による監査を受け入れない
詳細なセキュリティ対策が開示されていない
データセンターや合意管轄裁判所が海外にあることによって国外法令が適用され、情報が強制的に開示される場合がある
把握した資産の重要度と上記リスクをふまえ、クラウドサービス(SaaS)上に資産を配置可能か判断します。
クラウドサービス(SaaS)を利用するためのポリシー・ガイドラインの作成
ポリシー・ガイドラインの作成は、公開されている標準やガイドラインをもとにすると取り掛かりやすいです。
公開されている標準やガイドラインは、過去のコラムで紹介しておりますのでご参照ください。
例えば、経産省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」をもとにする場合、ガイドラインの各管理策に「クラウド利用者のための実施の手引」が記載されていますので、自社にとって必要な利用者側の管理策を抜粋し、作成していきます。
既に情報セキュリティのポリシー・ガイドラインを作成されている場合は、既存のルールと矛盾がないように気を付けます。
ガイドラインの構成として、以下に例を挙げます。
既存のポリシー・ガイドラインと重複箇所がある場合は、適宜項目の統合などを検討します。
(図3)ガイドラインの構成
第1章 総則
1-1 (趣旨)
1-2 (適用範囲)
1-3 (適用対象サービス)
第2章 基本原則
2-1 (基本原則)
第3章 クラウドサービス(SaaS)利用者の遵守事項
3-1 (情報セキュリティの組織的な取り組み)
3-2 (情報資産の取り扱い)
3-3 (ネットワーク)
3-4 (契約時における確認事項)
3-5 (リスクアセスメント)
3-6 (利用の認可)
第4章 クラウドサービス(SaaS)利用中の遵守事項
4-1 (運用体制)
4-2 (情報セキュリティ対策)
4-3 (情報セキュリティインシデント対応)
4-4 (教育)
4-5 (監査)
第5章 クラウドサービス(SaaS)利用後の遵守事項
5-1 (サービス利用停止の事前準備)
5-2 (サービス利用停止の実地)
まとめ
クラウドサービス(SaaS)の中には、簡単な登録で気軽に利用できてしまうサービスも多いため、セキュリティ対策が後手に回ってしまっている場合が見受けられます。
利便性ばかりに目を向けていると、機密情報の漏えいなど思わず足をすくわれる可能性があります。
クラウドサービス(SaaS)を導入する際は、まずは取り扱う資産の洗い出しやルール決めを行うことが必要です。
もしお困りのようでしたら、弊社では「テレワークセキュリティ導入アセスメントサービス」や「セキュリティポリシー策定支援」などのサービスもございますので、ぜひお問い合わせ下さい。
コラム執筆
株式会社インフォセック
セキュリティコンサルタント
菊地 宏紀
【 弊社サービスの紹介 】
「テレワークセキュリティ導入アセスメントサービス」は、総務省のテレワークセキュリティガイドラインを基にしたアセスメントにより、
お客様組織のセキュリティ対策状況を可視化するとともにカテゴリ別に想定されるリスクと実施推奨するセキュリティ対策をまとめたレポートをご提示。
優先順位付けした今後のセキュリティ対策の実施をご支援します。
情報セキュリティポリシーやルールに関する課題・悩みを、インフォセックが豊富な知見と実績で解決に向けて支援します。
クラウドサービス(SaaS/PaaS/IaaS)を安全に利活用するためのガイドラインの策定を支援します。