こんにちは、オフィス電話本舗新人のMです。
今回はIPA NEWS1月号の特集より、クラウドサービスを安全に利用するための大事なポイントについてご紹介いたします!
参考元:IPA NEWS1月号
IPA「中小企業のためのクラウドサービス安全利用の手引き」
クラウドサービスとは
クラウドサービスとは、今まで手元のコンピューターで利用していたデータやソフトウェア等をインターネットを通じて提供するサービスのことをいいます。
データやソフトウェアは、クラウドサービスを提供する事業者によって管理、運用されるため、そこにかかるリソースが削減されます。
そのため、現在では個人から企業まで幅広く利用されています。
クラウドサービスの危険性
クラウドサービスはとても便利な一方で、以下のような多数の危険も潜んでいます。
事業者によるリスク
- セキュリティ対策について、サービスを提供する事業者にお任せになってしまう
- 事業者の国籍、サーバの設置国などによって適用される法律が日本と異なる可能性がある(個人情報の取り扱いや万が一の場合の損害賠償など)
- 事業者のサービスに問題があった場合、情報漏洩や事業の停止など多数のインシデントに影響する
利用者によるリスク
- 簡単なパスワード設定により、不正ログインの被害にあってしまう可能性がある
- 私的なクラウドサービスを業務に利用したことにより、情報漏洩してしまう可能性がある
特に、従業員が私的に利用しているクラウドサービスから情報漏洩してしまうというケースは、万が一起こってしまった場合、すぐに発見することも難しくなってしまいます。
社内ネットワークへの接続はID・パスワードを使用した認証制にする、業務に必要なクラウドサービスは会社で契約するなど対策を取るようにしましょう。
安全にクラウドサービスを利用するために
クラウドサービスを安全に利用するためには、リスクを知り、しっかりと対策する必要があります。
IPA「中小企業のためのクラウドサービス安全利用の手引き」ではクラウドサービス安全利用チェックシートとして、以下の15項目を定めています。
クラウドサービスを選択する時のポイント
クラウドサービスの機能やセキュリティはサービス事業者に依存する部分が多いため、ただ便利だから何でもかんでも使用するというのではなく、必要な部分、安全に使用できる部分を選択することが重要です。
①どの業務で利用するか明確にする
クラウドサービスをどの業務で使用するのか、どの業務は使用せずに自社のサーバで利用するのかなど明確にしましょう。
また、このことを社員に周知させておくことも大事です。
②クラウドサービスの種類を選ぶ
利用する業務に適したクラウドサービスを選ぶことで、無駄なコストやリスクがなく使用できます。
また、その業務に必要なセキュリティ対策が行われているかなども確認しやすくなります。
③取り扱う情報の重要度を確認する
万が一クラウドサービスで情報漏洩やサービスの停止、消失等があった場合に影響がどの程度あるのかを考慮してサービスの選択を行います。
特に、個人情報の漏洩に関しては関係各所への連絡、補償、再発防止への対策など多大なコストがかかります。
本当にクラウドサービスを利用して良い情報、業務なのか今一度確認してみましょう。
④セキュリティのルールと矛盾しないようにする
社内のセキュリティ対策のためのガイドラインやマニュアルといったルールと、クラウドサービスの利用方法との間に矛盾がないように使用しましょう。
矛盾が生じる場合には何故そのルールがあるのか、ルールを変更した際に安全性が保たれるかどうかを考え、変更した場合には新しいルールを周知するようにしましょう。
⑤クラウド事業者の信頼性を確認する
クラウドサービスの内容だけでなく、事業者の信頼性も大事なポイントです。
実績や、認証制度などを利用し、信頼性を確認しましょう。
画像引用元: IPA「中小企業のためのクラウドサービス安全利用の手引き」
⑥クラウドサービスの安全・信頼性を確認する
安定して稼働しているかどうかも選択する際のポイントになります。
障害の発生頻度や、障害発生時にどの程度で復旧するのかなど確認しておきましょう。
クラウドサービスを運用する時のポイント
クラウドサービスを選択した後は、日々の業務の中にも安全に使うために意識すべきポイントがあります。
⑦管理担当者を決める
社内でもクラウドサービスをしっかり理解し、運用や設定、困った時に対応できる担当者を決めておきましょう。
⑧利用者の範囲を決める
クラウドサービスを利用する人の範囲と、それぞれに与える権限を適切に決め、運用しましょう。
特に、端末や個人IDの登録承認や、範囲設定などの承認権限は上司のみに付与するなど注意が必要です。
⑨利用者の認証を厳格に行う
パスワードは簡易なものではなく複雑なものにする、ID・パスワードの共有はしないなど利用者の認証は厳格に行いましょう。
特定の端末でしか利用できない設定や、ログイン時に二段階認証を用いたり、管理者に通知が来るようにしたりとより高度なセキュリティ対策が行える場合には行うようにしましょう。
⑩バックアップに責任を持つ
万が一クラウドサービスの停止やデータ消失が起こった場合にも、業務が行えるよう、バックアップなどは適宜自社でしっかりととっておくようにしましょう。
クラウドサービスのセキュリティ管理のポイント
クラウドサービスには、自社で行うセキュリティ対策とは違う特有のリスクや関連する法令があります。
そこを理解し、対応できるようにしておきましょう。
このセキュリティ管理については、クラウドサービスを選択する際のポイントにもなります。
⑪付帯するセキュリティ対策を確認する
クラウドサービスのセキュリティ対策が具体的にどのように行われているのか公開されているかどうか、また、OSやソフトウェアの脆弱性が見つかった時にすぐに対応されているのかを確認しましょう。
⑫利用者サポートの体制を確認する
クラウドサービスの利用方法について困った時にどのようなサポートを受けられるのかを確認しましょう。特に、重要なのが以下の3つです。
- 受付時間(時間帯や、曜日など)
- 連絡方法(メール、電話、チャット対応、返答にかかる時間など)
- 料金(どの範囲までが無料サポートで、どこから費用が掛かるのか)
自社の業務によっては、休日や夜間の対応も行えるサポート体制でないと困るという場合もあるかもしれません。
その場合には、そうした対応のできるクラウドサービスを選択する必要があります。
⑬利用終了時のデータを確認する
クラウドサービスの利用を終了した時に今まで使用していたデータやソフトウェアの取り扱いがどうなるのかも、使用前の確認が必要です。
自社のパソコンやサーバに保存できるのか、他のソフトウェアやサービスで使用できる(互換性がある)のか、保存データを完全に消去してもらえるのかなど事前に把握しておきましょう。
⑭適用法令や契約条件を確認する
個人情報保護法や、再委託先の管理監督責任についてなど、関連法規則の遵守がされているのか、また、しっかりそれが明記されているのか利用規約を確認しましょう。
⑮データ保存先の地理的所在地を確認する
個人情報保護の法令など、国によって異なる場合があります。そのため、データ保存先がどの国なのか、どの国の法律が適用されるのかなども確認してからサービスを使用するようにしましょう。
事業者任せにせず、利用者もしっかりセキュリティ対策を!
クラウドサービスを利用する場合には、「サービス事業者がセキュリティ対策をしてくれているから大丈夫だろう」ではなく、利用者側もしっかりセキュリティ対策について意識をもち、取り組むことが大切です。
特に、業務に合ったサービスを適切に利用することや、ID・パスワードの管理、ルールの従業員への徹底などをしっかりしないと、せっかく事業者がセキュリティ対策をしていても脅威に襲われるリスクが高くなってしまいます。
ポイントを押さえて、安全にクラウドサービスを利用しましょう。
バックアップに適したクラウドサービス(「安心のバックアップ体制!「ビジネスエンゲージメントサポート Cloud」を始めます!」など)や、複合機の利用を便利にするクラウドサービスなど、オフィス電話本舗でも安心で便利なクラウドサービスのご紹介が可能です。
もしクラウドサービスのご利用をお考えの際は、お気軽にオフィス電話本舗までご相談ください。
