クラウドサービス利用ガイドライン策定支援

利用環境・形態にあわせて安全なクラウド利活用のガイドライン策定を支援

サービス概要

クラウドサービス(SaaS/PaaS/IaaS)を安全に利活用するためのガイドラインの策定を支援します。

クラウドサービスにおけるリスクの例

  • クラウドサービスの利活用が阻害されるリスク(費用の増大、業務の阻害、業者のロックインなど)
  • 事故や内部不正リスク(情報漏えい、データ改ざん・消失、サービス停止など)
  • 外部からの攻撃リスク(情報漏えい、データ改ざん・消失、サービス停止など)
  • 法令関連のリスク(コンプライアンス違反、情報漏えい、サービス停止など)

特長

「クラウドサービス」(SaaS/PaaS/IaaS)には、IT資産保有の削減や、利便性、従量課金というメリットがある一方、セキュリティ面などのデメリットを併せ持ちます。
インフォセックは、デメリットであるセキュリティにおけるリスクを低減するためのガイドライン策定を支援します。

クラウドサービス(SaaS/PaaS/IaaS)に潜むリスクと、ガイドライン策定による効果

【リスク1 クラウドサービスの利活用が阻害されるリスク】

仮想化技術の発展により、現在様々なクラウドサービスが展開されており、利用可能なサービスの範囲やセキュリティ対策のレベル、利用者に提供する機能、費用など、サービスレベルは多岐にわたります。
そのため、本来求めるレベルのサービスが利用できない場合(※1)があります。

(※1)クラウド上に保存する情報の重要度に対し、セキュリティの対策レベルが低い、他のサービスに乗り換えたくても、データを移行するための機能が提供されていない(いわゆるロックイン) など

クラウドサービスを選定する際の確認事項をガイドラインで明確にすることにより、予めクラウドの利活用を妨げるサービスを排除し、一定のサービス品質を確保することができます。

【リスク2 事故や内部不正リスク】

クラウドサービス事業者の管理・体制不備によって情報漏えいが発生したり(※2)、クラウドサービスが提供する機能が充分ではないために事件・事故の原因究明や復旧ができない可能性があります(※3)

(※2)情報の取扱・ルールや手順がずさん、システム運用管理の不備・不正による障害などが発生するなどの事業者側の管理不備

(※3)クラウドサービスの利用者側で適切なアクセス制御を行うことができない、バックアップやログを十分に取得できないなど

クラウドサービス事業者の体制、ルール・手順、セキュリティ対策の整備状況を確認することをガイドラインで定めることで、一定の信頼性を有する事業者・サービスを選定することができます。

【リスク3 外部からの攻撃リスク】

サイバー攻撃(不正アクセス、DDoS等のサイバー攻撃を受ける等)、物理的な侵入(データセンターの入退管理不備を突く侵入)を受けた際、防ぐことができずに侵入されてしまう場合があります。

クラウド環境における情報セキュリティ対策の実施状況の確認事項をガイドラインで明確にすることにより、一定の情報セキュリティレベルを確保することができます。

【リスク4 法令関連リスク】

クラウドサービス事業者のセキュリティポリシーや仕様が、自社の関連規程類や業界ガイドライン、関連する法令に違反している可能性や、データセンターや合意管轄裁判所が海外にあることによって国外法令が適用され、情報が強制的に開示されたり、不利な判決が下される可能性があります。

自社が遵守すべき法令や業界ガイドラインをガイドラインで明確にすることにより、法令違反や海外への情報漏えいを防ぐことができます。

サンプル

クラウドサービス利用ガイドライン(目次サンプル)

インターネット上に存在する、仮想化されたサーバー群が提供するITサービス「クラウドサービス」は、比較的安価で高性能なコンピューティングサービスとして利活用が進んでいます。その一方で、クラウドサービスには特有のリスクがあり、導入・運用にあたって注意すべき事項が存在します。
本ガイドラインでは、わが社においてクラウドサービスを利用する場合の際に、あらかじめ確認すべき事項、及び実施すべき事項を定めます。

クラウドサービスのモデル

  • IaaS:(Infrastructure as a Service)情報システムの稼働に必要な機器や回線のインフラ(CPU、ストレージ、OS等)をインターネット上で利用できるクラウドサービス。
  • PaaS:(Platform as a Service)アプリケーションの開発・実行に必要な環境(プラットフォーム)をインターネット上で利用できるクラウドサービス。
  • SaaS:(Software as a Service)インターネット上でアプリケーションを利用できるクラウドサービス。ASPの一種であり、仮想化技術によるクラウドコンピューティングの形態でサービスを提供しているもの。
  • 第1章 総則
  • 1-1 目的
  • 1-2 適用範囲
  • 1-3 用語の定義
  • 第2章 わが社におけるクラウドサービス利用の基本方針
  • 2-1 基本方針
  • 2-2 管理体制
  • 第3章 クラウドサービス導入時における確認事項
  • 3-1 安全性に関する確認事項
  • 3-2 運用に関する確認事項
  • 3-3 契約・法的要求事項に関する確認事項
  • 第4章 クラウドサービス利用時の実施事項
  • 4-1 クラウドサービス利用時の運用に関する実施事項
  • 第5章 クラウドサービス利用終了時の実施事項
  • 5-1 クラウドサービス利用終了時の実施事項

附則