「クラウドセキュリティガイドライン」とは?

 2020.07.02  2022.09.12

ビジネスとICT(Information and Communication Technology)の関りは深まり、企業ではクラウドサービスを利用することが一般化しています。2年前に実施された総務省の調べによると、一部でもクラウドサービスを利用している企業は56.9%であり、前年の56.9%より10ポイントと大幅に上昇しています。
引用:「平成30年版 情報通信白書 企業におけるクラウドサービスの利用動向

中でも、利用しているサービスの内容としてはファイル保管・データ共有が51.2%で最も多く、次いでサーバー利用が47.6%、電子メールが46.3%となっています。平成29年度の情報では電子メールが最も多い結果となっていたため、クラウドサービスの拡大がいよいよ本格化していることが読み取れます。
引用:「総務省 平成29年版 企業におけるクラウドサービスの利用動向

クラウドサービスが拡大するにつれて問題になっているのが「情報セキュリティ対策」で、総務省は昨今拡大しているクラウドサービスを対象とした「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」を公表しています。

そこで本稿では、この資料もとにクラウドサービス事業者が実施すべき情報セキュリティ対策について紹介していきます。

※本ガイドラインの位置づけは「クラウドサービス事業者がサービスを提供する際に実施すべき情報セキュリティ対策」です。ユーザー視点から見た情報セキュリティ対策ではありませんが、クラウドサービス事業者が実施している情報セキュリティ対策の状況を確認するための指標として活用ください。

ガイドラインを活用する効果

総務省では本ガイドラインを活用する効果として、以下3つを挙げています。

  1. ⼤企業と比較し、情報セキュリティ対策に⼈的・⾦銭的な資源を割くことが困難な中⼩のクラウド事業者に対して、独⾃の脅威分析の負担を軽減し、優先的に取り組むべき対策の指針を与える
  2. 他のクラウドサービスと連携する際、連携クラウド事業者に対する情報セキュリティ対策の要求事項として、本ガイドラインが⼀定の指針となる
  3. これまで、クラウドの情報セキュリティ対策に関する明確な指針が存在しなかったため、利⽤者がクラウドサービスを選択するにあたり、そのクラウド事業者が実施している情報セキュリティ対策の妥当性を判断し得なかった。本ガイドラインは、利⽤者がクラウドサービスを選択する際の、⼀定の指針となる
企業が今取り組むべき"ゼロトラスト"のはじめかた
できることから考える-PPAPの現状と代替案について-

IoTサービスリスクへの対応方針

クラウドサービスの発展・普及に伴い、近年急激にニーズを拡大しているのがIoT(Internet of Things)です。

IoTとは、従来ネットワークに接続されていなかったものを新たに接続することで、新しい商品価値を生み出したり、今までにない情報活用を見いだすことで従来製品の品質向上や目視で確認できない異常検知など、業務運用の大幅な転換に寄与します。

IoTを活用したサービスが増えることで、利活用価値の高いデータが急増していきます。これは個々のサービスがもつ価値を高める一方で、反対に企業が保護すべきデータが増え、セキュリティリスクが増加することも意味しています。ここでは、特に注意が必要なIoTサービスリスクへの対応方針について紹介します。

IoTサービスの特徴

IoTサービスには以下のような3つの特徴があります。

多様な事業者間連携

企業向けに提供されているIoTサービスは、1社で完結することは稀であり、サービス利用者のニーズに即して多くの個別サービスとも連携して利用されます。これにより、単体のサービスとしてだけでなく、利用するサービス全体の統制を考慮した形でサービスが構築・維持・運用されることが多くなっています。

ロールを実行するコンポーネントと運用・保守の多様な提供形態

IoTサービスの提供にあたり、サービス利用者・クラウドサービス事業者・関係事業者など、それぞれ事業者が役割を分担し、サービスの提供に必要なコンポーネントを補完し合いながら運用や保守・サポートなどが提供されています。

多様なデータ取扱形態

IoT機器から生み出され、クラウドサービスに集約されるデータの量や分析結果の質の高さがサービス自体の価値を高めていきます。さらにデータが外部サービスに提供されることで新たな価値がもたらされ、新たなサービスやイノベーションが生まれる機会にも繋がります。

IoTサービスにおいて重視すべきリスクとは?

クラウドサービス事業者がIoTサービスを提供するにあたり、情報セキュリティ対策を強化するためには、まずIoTサービスにおけるリスクを理解する必要があります。以下は、前述したIoTサービスの3つの特徴ごとに重視すべきリスクです。

多様な事業者間連携に起因する事業者連携等の問題が、クラウドサービス全体に影響を及ぼす可能性がある 

  • 連携事業者間で管理⽔準が異なることで⽣じる問題
  • サービス継続性の阻害
  • 契約による責任分担の割り当てに関して⽣じる問題
  • 構成管理に関して⽣じる問題

ロールを実行するコンポーネントと運用・保守の多様な提供形態に起因するコンポーネントのリスクがある

  • コンポーネントそのものに起因するリスク
    (例)「モノが⼈に危害を与える」「情報セキュリティインシデント・情報漏えい」「ICT 障害」「コンプライアンスリスク(海外法の規制に抵触)」などサービス全体を見据えたSLAの維持管理が必要
  • コンポーネントの運⽤・保守・要員に関わるリスク
    (例)全体プロセスを俯瞰した形で運用設計や要員配置が必要であり、管理体制の構築のみならず、各連携サービスの利用条件やサポートレベルを把握した運用が求められる

多様なデータ取扱形態に起因する、データ価値やデータにかかわる法令遵守を毀損してしまうリスクがある

  • データを取り扱うロールのどこかで、データの⽋損、不⼗分な品質、改ざん・漏えい、質の低い解析・意図的に改ざんされた解析等が⽣じることで、IoT サービス利⽤者及び外部データ提供先から⾒たデータ価値が失われるリスク
  • 外部から⽋損、不⼗分な品質、改ざん・漏洩があるデータを取得することで、IoT サービス利⽤者及び外部データ提供先から⾒たデータ価値が毀損されるリスク
  • データに関する法令順守が毀損されるリスク
    (例)「国内外の個⼈情報保護法に抵触する個⼈データの取扱い、越境移転、保管サーバー設置等の発⽣24」「海外のサイバーセキュリティ法制に抵触する重要データの越境移転が⾏われる」「データに関する権利関係が正しく処理されない」等への考慮が必要

IoTサービスリスクへの対応

いかがでしょうか?本稿ではIoTサービスリスクを中心に、総務省の「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」についてポイントをご紹介しました。

IoTサービス細かいガイドラインは資料を参照することですべて確認できるので、クラウドサービス事業者は自社が徹底すべき情報セキュリティ対策について確認し、ユーザーはクラウドサービス事業者を選定する際のセキュリティ指標としましょう。

もっと読む : クラウドセキュリティに必要な対策とは?

ゼロトラストセキュリティまるわかりガイド

RECENT POST「セキュリティ動向」の最新記事


セキュリティ動向

Azure ADで利用できる”セキュリティの規定値群(セキュリティデフォルト)”とは〜IDaaSとの差異を解説〜

セキュリティ動向

Google Workspace(旧 G Suite)のセキュリティ対策とは?

セキュリティ動向

Microsoft Teamsの利用で考慮すべきセキュリティ対策とは?

セキュリティ動向

VPNでセキュリティ対策は万全か?その役割と弱点とは?

「クラウドセキュリティガイドライン」とは?
CTA

RECENT POST 最新記事

CTA

RANKING人気記事ランキング