前回、クラウドサービスを利用するためのセキュリティポリシーの追加が必要になると書きました。その前に、そもそもクラウドサービスとは? という定義が必要になると考えられます。しかし、残念ながら、クラウドの定義は今でも決まったものはありませんし、これからも決まらないでしょう。
私は何も、クラウドはとても危険であるといたずらに警鐘を鳴らしているのではありません。容認すべきリスクを、セキュリティポリシーとして規定し、経営陣とともに認識することが先であると言いたいのです。
実際に、私の知っているいくつかの企業では、情報システム部門抜きに、ユーザー部門主導でクラウドサービスの導入が進められているのです。これには、ユーザー部門がシステム化予算を持っていることが多いことと、システム構築が伴わない場合には情報システム部門には声がかからないことが多いという背景があります。
自社でシステムを構築する、これまでの経緯から、高くて遅くて不便なものができると思っているユーザー部門は少なくありません。そこでコスト削減も迫られているユーザー部門は、勝手にクラウドサービスの導入に走っているのでしょう。
まず、これまでのASP(application service provider)やSaaS(software as a services)と同じ点です。
組織の機密情報を自社で直接管理することのできない他社に委託することになるという意味ではASPやSaaSと同じです。従って、ASPやSaaSの利用に関するセキュリティポリシーがない組織の場合には、データを外部組織に保存するする場合のポリシーを記述する必要があります。
一般的にセキュリティポリシーには、外部へのデータの持ち出しによる情報漏えいやウイルス感染、ハッカーによる攻撃などが主な脅威として書き込まれていることが多い半面、外部業者にデータを預けて運用することは大きな脅威としてはとらえられていないことが多いのです。
これは、これまでASPサービスなどで自社の重要な情報が漏えいした事例がほとんどないからなのです。そこにきてクラウドサービスが始まったために、データの外部業者への委託に対するセキュリティポリシーがないままに利活用が急速に進められているのです。また、コスト削減の切り札のような広告宣伝が行われているために、セキュリティ問題が置き去りにされてしまっているのです。
機密情報の定義がある場合には、「機密情報(個人情報に限らない)を外部業者に預ける場合の組織内の手続き」を定義するべきでしょう。これによって、機密情報が勝手にクラウドサービスに置かれることを防ぐことができます。しかし、これだけでは不十分です。どういう基準で許可するのか、あるいは許可しないのかを「ポリシー」として記述する必要があります。
次に、クラウドとASPやSaaSとの違いを考えてみましょう。データを外部に出すということ自体には違いはありませんが、以下の点で相違点があります。
- 海外の事業者が安価なサービスを提供している
- 海外の事業者のサービスが有名
- 仮想コンピューターのテクノロジがベースになっている
これらは下記のような、新たな脅威を生み出します。
- データが海外に置かれるた場合、現地の法律に従って検閲されることがある
- 仮想コンピューターは新しい技術であり、未知の脆弱性が潜んでいるかもしれない
- 扱う機密情報の種類と量
- 海外にデータが置かれるかどうか
- 海外の事業者か、日本法人か
- 係争を起こす場合の裁判所が国内にあるか海外にあるか
- 具体的な技術的なセキュリティ対策
- 具体的な冗長構成
- 具体的なデータセンターの運用体制
- 仮想コンピューター技術の種類
このため、クラウドサービスの利用の許可をする基準としては、以下が考えられます。
これらをシステムごとに毎回検討するよりも、ある程度指針を打ち出しておくべきです。このためには、法律の専門家、仮想化技術の専門家などの有識者を社内外から集めて集中的に検討を行い、経営者が承認したガイドラインを作成しておく必要があるのです。
次回は、必要なセキュリティ対策などについて考えてみましょう。