クラウドサービスの利用について

政府が「クラウド・バイ・デフォルト原則」を掲げているように、様々なクラウドサービスが存在するようになっていることから、これまではシステム導入することはコスト面や運用管理面で難しかった領域においてもクラウドサービスの検討機会が増加しているかと思います。

先日も、クラウドサービスを選定する際の留意点を教えて欲しいという相談がございましたので、今回は、クラウドサービスを選定する際に検討すべき事項について記載します。

クラウド利用のITリスクとその対応

クラウドを利用する場合には、データの保存先が自社サーバからクラウド事業者が利用するデータセンター先に代わることから、利用者側が考慮すべきITリスクやリスクの対応先も変わってきます。

詳細は各機関が公表したクラウドセキュリティガイドラインクラウドサービス情報セキュリティ提供における対策(第3版)中小企業のためのクラウドサービス安全利用の手引きを閲覧頂ければ利用者側が考慮すべきITリスクが記載されていますので、機会があれば読んでもらえればと思います。

クラウドサービス利用により生じる不正アクセスやデータ消失リスク等に対する要素別のセキュリティ管理上対応すべき事項は以下の通りになります。

次項で記載する各社で作成・利用するセキュリティチェックシートを利用することで、クラウドサービス提供側が、自社が求める水準の対応が実施されているかは確認でき、適切なサービス提供先を選択できますが、利用者側のリテラシー向上(上記の”人員”の対応)は自社の問題であり、社員に対するセキュリティ教育は喫緊の課題となっている企業様は多いように思われます。

この点、システム部門が中心となって抜き打ち(役員にも連絡せず)で標的型攻撃メール訓練を全社員を対象に行ったり、セキュリティに関するヒヤリハットについて、メール等でアナウンスしたりといった取り組みが重要なので、実施していない企業様は是非取り組みを行ってみて下さい。

クラウドサービス選定方法_セキュリティチェックシート

さて、クラウドサービスを選定する際には、自社のセキュリティポリシーに合致しているかをセキュリティチェックシートを利用して、サービス提供会社に質問したり、HP等の情報を利用して確認することが重要です。

ここで、よく聞かれるのが参考になるセキュリティチェックシートはありますか?という質問を受けます。公的なものはないのですが、サービス提供会社がサービス利用者のために提供しているものとして株式会社SmartHR:セキュリティチェックシート、株式会社メディアスクエアのSMARTCROSSセキュリティチェックシート等があります。

これを参考に、自社のセキュリティポリシーや要求事項を反映させることで各社で利用するチェックシートを作成することができます。当然、自社でセキュリティポリシーを設定することは必要になりますので、そこは各社にて検討いただく必要はあります。

また、サービス提供会社への質問による回答はあくまでその時点の話であったり、第三者保証されたものではなかったりするので、ISMS認証やSOC2 Type2 報告書、3402保証報告書等を取得している事を要求事項とすることも考えられます。

なお、上記リンク先のセキュリティチェックシートはいずれも経済産業省による「クラウドサービスレベルのチェックリスト」と、 IPA(独立行政法人情報処理推進機構)による「安全なウェブサイトの作り方改訂第7版」をいずれも参考にしていますが、それ以外の参考としては、Pマーク認証、ISMS認証、ISMSクラウドセキュリティ認証、FISCなどのセキュリティシートもその作成に際しては参考になると思います。

最後に

クラウドサービスの利用やセキュリティチェックシートの作成に際して、財務報告に関連する領域である場合には、公認会計士の会計監査に影響することもあります。会計監査に影響する場合には、重要性に応じた判断が伴うため、疑問に思う事がございましたら、うみもと公認会計士事務所へお気軽にお問い合わせください。