クラウドサービス利用における留意点
クラウドサービスとは 様々な媒体で目にするようになった「クラウドサービス」という言葉ですが、具体的にはどのようなサービスを指すのでしょうか。NIST(注1)によると、「共用のコンピュータをどこからでも好きなときにネットワーク経由で利用することができるモデル」と定義されています。サービス利用者はネットワークを経由してクラウドサービスを活用することで、自社で情報システムを準備することなく、いつでも簡単に目的のサービス(電子メールの送受信、ファイルの共有など)を利用することが可能になります(図1)。
サービス管理責任に伴うリスク 契約内容にもよりますが、一般的に他社が提供するクラウドサービスを利用する場合、その管理責任は利用者側が負うことになります。例えばクラウドサービスがなんらかの原因により停止してしまい自社の顧客に損害を与えてしまった場合、通常その責任は自社で負う必要があります。しかし他社が提供するクラウドサービスを利用する場合と自社で構築、運用している情報システムにより提供されるサービスを利用する場合を比較すると、前者のほうが包括的な管理が困難であることは容易に想像できます。クラウドサービス提供者はひとつのシステム資源を複数の利用者間で共有していることも多いため、その資源の分割方法や資源自体の管理方法を事前に調べて自社内で協議することが必要です。可能であれば、利用しているクラウドサービス提供者のセキュリティポリシや事業継続計画を自社の社内ルールと比較して、必要があればサービス利用前に協議しておくことが望まれます。
データ保持に関連するリスク 近年、主なクラウドサービス提供者はグローバル企業として世界各国のデータセンターからサービスを提供しています。その結果、サービスを利用しようとする会社の情報が香港や日本のみならず、海外のあらゆる国で保持される可能性があります。特に個人情報(自社社員や顧客の情報)についての法令は国や地域によって異なり、情報の移動や取扱いに制約を受ける場合があります。クラウドサービスによってはデータの保持を特定の国に制限することもできますが、通常サービス利用前に提供者との調整が必要になります。万が一、クラウドサービス提供者と係争が発生した場合には、所管の裁判所はそのサービス提供者の本社が所在する地域になる可能性があります。その場合は現地の法令に基づいた係争に対応する必要がある点も予め考慮する必要があります。
クラウドサービス提供者の視点 ここまでクラウドサービス利用者の観点からリスクを見てきましたが、提供者はどういった点に留意すべきでしょうか。前述のとおり、通常提供者は利用者が保有する資産に関する管理責任を直接負うことがないとはいえ、あらかじめ災害対策やサイバー攻撃といった技術的なリスクへの対応を図るとともに、利用者が当局等から求められるであろう事項を実装し、それらの情報を利用者側へ適時適切に提供する義務があると考えられます。適切な情報提供の一例として、ISO/IEC 27017認証(2015年中旬運用開始予定)(注2)の取得、SOC2(注3)の適用、あるいはホワイトペーパーによる情報提供を検討することも一考です。
おわりに 香港では近年、将軍澳地域に日系/中華系双方の企業のデータセンターが集積してきており、従来のハウジング/スティングといったサービス(注4)に加えてクラウドサービスが利用しやすい環境だと思われます。クラウドサービスを利用するにあたっては、コストや利便性のみに着目せず考えられるリスクを幅広く検討することが必要ですが、これまでこのようなサービスの活用実績がない企業にとってそれを網羅的に行うことは容易なことではありません。そのための参考資料として各国の非営利組織や当局からガイドラインが発行されているため(注5)、ITの担当者はそれらを活用しつつ自社或いはサービス提供者に関連するリスクを洗い出し、想定外の事態を出来る限り未然に防ぐことが必要になります。 なおクラウドサービスの利用にともなって関連する特有のリスクを検討する必要性が出てきますが、既存のITリスクと分けて検討することは望ましくありません。クラウドサービスといっても情報システム利用のひとつの手段であることから既存のリスク管理の枠組みに特有のリスクを追加することが網羅的、かつ効率的にリスク管理を行うことに繋がると考えられます。
※1…National Institute of Standards and Technology(米国国立標準技術研究所) 筆者紹介
佐々木 英樹(ささき ひでき)
|
|
|