「このクラウドサービス、セキュリティ的に大丈夫ですか?」——この問いに、感覚で答えていないだろうか。
新しいクラウドサービスを導入するとき、機能と価格は当然比較する。でも、セキュリティの観点で「何を確認すべきか」は意外と整理されていない。結果、「有名だから大丈夫」「みんな使っているから安心」という曖昧な判断でサービスを選んでしまう——僕がコンサル現場でよく目にする光景だ。
以前の記事ではISO27017/27018の基礎を解説した。今回はその実践編として、クラウドサービス選定時に確認すべき10項目をチェックリスト形式で整理する。新規導入の検討時はもちろん、既存サービスの定期見直しにも使える内容だ。
→ ISO 27017とは何か?クラウド移行後のセキュリティ規格を現場目線で解説
目次
1. なぜ選定段階でチェックが重要なのか
クラウドサービスは「導入したら抜けにくい」という性質を持つ。一度業務に組み込むと、データ移行・運用ルールの再構築・従業員の再教育——切り替えコストが膨大になる。
つまり、選定段階のセキュリティ確認は、入った後の数年間のリスクを左右する。導入後に「実は問題があった」と気づいても、もう簡単には抜けられない。これが「選定時こそ厳しく見るべき」と言い続ける理由だ。
幸い、ISO27017とISO27018はクラウドサービスの評価軸を明確に定めている。規格を「取得する」ためではなく「評価軸として使う」ことで、感覚的だった選定プロセスを数段引き上げられる。
2. 10項目チェックリストの全体像
図1:クラウドサービス選定の10項目チェックリスト
10項目は4つのカテゴリに整理できる。「認証・コンプライアンス」「データ保護」「運用管理」「終了時対応」だ。導入検討段階ではすべてに目を通し、特に上位の項目から優先的に確認していく。
項目1〜2は「お墨付き」の確認、項目3〜5は「データの守られ方」、項目6〜8は「日々の運用での透明性」、項目9〜10は「契約終了時の安全な離脱」——という構造で読むと理解しやすい。
3. 最優先で確認すべき4項目
10項目のうち、これだけは絶対に外せない4項目をまず説明する。
① ISO27017/27018認証取得の有無:サービス提供者が第三者認証を取得しているかどうかは、最も手軽な評価基準だ。認証取得済みなら、最低限のセキュリティ統制は確認されていると判断できる。「自社で全項目を監査する」ことは現実的でないので、認証は強力な代替手段になる。
② データ保管場所の開示:どの国・地域のデータセンターに保存されるかを必ず確認する。国によって法制度が異なり、データへのアクセス権限を持つ機関も変わる。日本国内に保管するのか、米国か、欧州か——この一点で個人情報保護法・GDPRへの対応が大きく変わる。
③ 暗号化の方式:保管時(at rest)と通信時(in transit)の両方で暗号化されているかを確認する。「データを暗号化しています」では情報不足だ。AES-256などの具体的な方式が開示されているかを見る。
④ インシデント通知の義務と時間制限:サービス提供者側でインシデントが発生した場合、いつ・どのように通知されるかが契約・SLAに明記されているかを確認する。「気づいたら通知します」では足りない。72時間以内など、具体的な時間制限が定められているかが重要だ。
→ 「自社は無事」でも顧客情報は漏れる——サプライチェーンリスクの教訓と中小企業の備え
4. 運用に関わる確認項目
導入後の日々の運用で問題になりやすい3項目を整理する。
⑤ アクセス権限の管理機能:誰が・いつ・どのデータにアクセスしたかを記録・追跡できる機能があるか。多要素認証(MFA)・SSO・ロールベース権限管理など、基本的な統制機能が揃っているかを確認する。
⑥ データの分離(マルチテナント環境での隔離):他社のデータとどのように分離されているか。論理的な分離だけか、物理的にも分離されているかで、リスクの重さが変わる。
⑦ ログ管理と監査証跡:操作履歴・アクセスログがどれくらいの期間保存され、自社で取得できるかを確認する。インシデント発生時に「何が起きたか」を追跡できないと、原因究明も再発防止もできない。
5. サービス終了時を見据えた確認項目
導入時に見落とされがちだが、終了時の問題は契約後ほど顕在化する3項目だ。
⑧ サブプロセッサー(再委託先)の開示:サービス提供者が自社のデータを別の業者にさらに委託している場合、その業者の情報が開示されているかを確認する。「クラウドの裏側にもう一つクラウドがある」状態が、サプライチェーンリスクの温床になる。
⑨ データの返却・削除手順:契約終了時に自社データがどのように返却・削除されるかが明記されているか。「削除証明書」が発行されるか、バックアップに残ったデータの扱いがどうなるかも重要だ。
⑩ 個人情報保護に関する明示的なコミットメント:ISO27018認証の有無や、預けた個人情報を提供者側のマーケティング等に使わないという契約上の明文化。曖昧なまま預けると、後から「うちのデータがどう使われているか分からない」状態になる。
6. よくあるNGパターン
選定の現場で繰り返し見るNGパターンを正直に挙げる。
「有名だから大丈夫」の判断:ブランド名で判断する。有名サービスでも個別の契約条件は会社ごとに違うので、自社向けの契約内容を必ず確認する。
「無料・安いから」の判断:価格優先で選び、データの取り扱いに関する規約を読まない。無料サービスは「データを利用させる」ことが対価になっているケースがある。
「営業担当の口頭説明」を信じる:書面・契約書・SLAに明記されていないことは存在しないと考える。営業の「対応します」「大丈夫です」は契約条項ではない。
「感覚」ではなく「基準」で選ぶ
クラウドサービスの選定は、これからますます会社の競争力を左右する。だからこそ、「感覚的に良さそう」ではなく「基準に照らして適切」と言える状態を作る必要がある。
今回紹介した10項目は、その「基準」の最低ラインだ。これをチェックリストとして使うだけで、選定の精度は確実に上がる。すでに導入しているサービスにも当てはめてみてほしい。新しい気づきがあるはずだ。
→ セキュリティは「機器」より「仕組み」で決まる——ISO27001を現場目線で解説
関連記事
・ISO 27017とは何か?クラウド移行後のセキュリティ規格を現場目線で解説
本記事の土台となるISO27017/27018の基礎解説。
・「自社は無事」でも顧客情報は漏れる——サプライチェーンリスクの教訓と中小企業の備え
クラウド提供者起因の情報漏洩事例から学ぶ教訓。
・セキュリティは「機器」より「仕組み」で決まる——ISO27001を現場目線で解説
情報セキュリティの「仕組み」の基本となる土台規格。
0 件のコメント:
新しいコメントは書き込めません。