「クラウドコンピューティングサービス」とは、利用者がコンピュータ処理を主にインターネット経由で利用する形態である「クラウドコンピューティングプロバイダー」から提供されるITに関するサービスである。
企業や個人が個別にコンピュータやアプリケーションを所有して利用するのに比べて、ITに関する開発・調達や運用・保守の負担が軽減され、コスト削減にもなる技術サービスとして注目されている。
最近は下記のメリットから利用する企業が増加している。
1)クラウドサービス活用の利点
*ITの調達に関わる負担からの解放、又は負担の軽減
*ITの運用・保守の負荷からの解放、又は負荷の軽減
*IT資源利用の柔軟性・拡張性の獲得
*セキュリティ対策の負荷・負担から解放、又は軽減
但し、利用に際しては下記の事項への対応を考慮することが必要である。
2)クラウドサービス利用上留意すべき事項
*コンピュータシステムを自ら管理しないことによる制約
*データを自らの管理範囲外に置く、あるいは社外に預ける不安や制約
*利用量・処理量の異常な増加や意図しない増大に伴う使用料の急増のリスク
*利用できるアプリケーションのカスタマイズの制約
*アプリケーション間のデータの連携実現の制約やコスト増の可能性
等が存在するが、それ等に対する不安を具体的な形で契約上に明記し、解消されている。
しかしながら、下記のような問題から情報セキュリティ上の不安が企業に存在し、クラウドコンピューティングの利用を躊躇させている。
2.クラウドコンピューティングサービスには、提供するサービスの違いで次の3つがある。
SaaS、PaaS、IaaS
その中のSaaS(サーズ:Software as a Service)利用時の情報セキュリティに関して検討する。
1)SaaS利用時の不安
*サービス提供する事業者の信頼性
クラウドサービスを提供する事業者は信頼がおけるか?
*提供されるサービスの信頼性
サービスの稼働率、障害発生頻度、障害発生時の回復目標時間などのサービス
レベルが明示されているか?
*セキュリティ対策の公開
クラウドサービスのセキュリティ対策が具体的に公開されているか?
*利用者サポート
サービスの利用に際し、分からない時のサポート(ヘルプデスク、FQA)がされて
いるか?
*利用終了時のデータ保存
サービスの利用終了時のデータの取扱いの条件が明確にされているか?
データの引渡の条件(ファイルレイアウト、ファイル形式、データの消去
(バックアップを含め)
*契約条件の確認
上記に関して、IPAが発行した「中小企業の為のクラウドサービス安全利用の手引
き」を参照
2)情報セキュリティ管理策を規定した国際的なガイドライン規格について
以上の不安に対して、2015年12月、「クラウドサービスの提供及び利用のための
情報セキュリティ管理策を規定した国際的なガイドライン規格
「ISO/IEC27017:2015)」が発行された。
「ISO/IEC27017:2015」は「ISO/IEC27002に基づくクラウドサービスのための情報
セキュリティ管理策の実践の規範を提供する国際規格で、ISO/IEC27002に規定する
指針に追加し、これを補うものであり、情報セキュリティの管理はISO/IEC27001を
参照することを勧めている。
このISOの規格に対応したJIS規格は2016年12月20日に制定された。
クラウドサービスの情報セキュリティの実施状況をこの規格の認証取得をすること
で保証される。
JIS Q 27017:2016 情報技術―セキュリティ技術―JIS Q 27002に基づくクラウド
サービスのための情報セキュリティ管理策の実践の規範
3.規格の要求事項
1)ISO/IEC27017:2015の構成では、新たに「4.クラウド分野固有の概念」が加わった
ことと、「付属書Aクラウドサービス拡張管理策集」に7項目が追加されている。
2)適用範囲は「クラウドサービス提供及び利用に適用できる情報セキュリティ管理策の
ための指針」となっており、管理策及び実施の手引きはクラウドサービスプロバイダと
クラウドサービスカスタマの双方に提供するものとなっている。
3)「追加のクラウドサービス固有の実施の手引き」では、管理策ごとに対応すべき
主体がカスタマかプロバイダかが明記されている。
また、「付属書Aクラウドサービス拡張管理策」では、クラウドサービスにおける
カスタマかプロバイダの関係、役割及び責任の共有及び分担、アクセス制御、ログ
管理、運用、監視などについて付記されている。
4.「クラウドサービスの提供及び利用のための情報セキュリティ管理策を規定した
国際的なガイドライン規格(ISO/IEC27017:2015)の概要
組織は、次の要求事項に従って、クラウドサービス固有のリスクへの対応を自らのISMS
確立、実践、維持及び継続的改善の中に組み込まなければならない。要求事項各規格項番
の抜粋(詳細は規格参照)
4.1 クラウドサービスを含む情報セキュリティマネジメントシステムの適用範囲の決定
4.2 ISO/IEC27001の規格に沿った情報セキュリティ対策の実施
4.3 内部監査 組織はあらかじめ定められた間隔で内部監査を実施しなければなら
ない。
5 情報セキュリティのための方針群
*クラウドサービスカスタマの固有の方針
*クラウドサービスプロバイダは情報セキュリティ方針の拡充
6 クラウドサービスカスタマは、クラウドサービスプロバイダと情報セキュリティの
役割及び責任について合意し、遂行するできることを確認し、合意書に記載する。
*クラウドサービスプロバイダはクラウドサービスカスタマに、クラウドサービス
プロバイダの地理的所在地、クラウドサービスカスタマのデータを保存ずる可能性の
ある国を通知する。
7 情報セキュリティの意識向上、教育・訓練
8 クラウドサービスカスタマの資産目録には、クラウドコンピューティング環境に
保存される情報及び関連資産を記載する。
9 ネットワークサービス利用の為のアクセス制御方針では、アクセスの要求事項を
定めること。
10 クラウドサービスプロバイダが暗号を提供する場合は、暗号によるすべての管理策
をレビューすること。
11 装置のセキュリティを保った処分又は再利用
12 クラウドサービスの変更について、クラウドサービスカスタマに情報を提供する
こと。
*資源不足による情報セキュリティインシデントの発生を防ぐために資源全体の
容量・能力を監視すること。
*クラウドサービスプロバイダは、クラウドサービスカスタマにバックアップ機能
の仕様を提供すること。
*クロックの同期
*技術的脆弱性の管理
13 ネットワークの分離
14 情報システムのセキュリティ要求事項の分析及び使用化
15 情報セキュリティインシデント管理及びその改善
*クラウドサービスプロバイダは、クラウドサービスカスタマとクラウドサービス
プロバイダとの間の、情報セキュリティインシデント管理についての責任の割当て
及び責任の割り当て及び手順を、サービス仕様の一部として定めること。
16 法的及び契約上の要求事項の順守
*苦情に対応するためのプロセスを確立すること。
*情報セキュリティのレビュー
中小企業においても情報セキュリティ対策は重要な問題であるが、情報システム
マネジメントシステム(JIS Q 27001:2013)の認証取得はハードルの高い課題で
あり、更にクラウドサービスの情報セキュリティマネジメントシステム
(ISO 27017:2015)認証取得は難しく なってくるので、クラウドサービスを利用
することでこの問題が解決できることが選択肢の一つとなる。
なお、クラウドサービス環境下での個人情報の情報セキュリティマネジメント
システム対応の国際規格(ISO/IEC27018:2014)が2014年に制定された。
これに対応するJIS規格の制定はまだされていない。
大井靖彦