ホーム > 企業・組織の対策 > 情報管理担当者の情報セキュリティ対策 > クラウドサービスを利用する際の情報セキュリティ対策
クラウドサービスを利用する際の情報セキュリティ対策
クラウドサービスは、利用者側が最低限のインターネット接続環境を用意すれば、インターネットを通じてアプリケーションやストレージなどのさまざまなサービスの提供が受けられるサービスです。
企業や組織において、社内の情報資産をクラウドサービスに預けるという利用が進んでいます。クラウドサービスには、一般の企業や組織が共有して利用するパブリッククラウドサービスと、特定の企業・組織向けのプライベートクラウドサービスがあります。ここではおもにパブリッククラウドサービスを利用する際の注意点を説明します。
クラウドサービスは、これまでのパッケージソフトや独自に構築していたサービスや業務システムを利用する場合と比較すると、その特性に応じた情報セキュリティ対策が要求されます。
特に注意すべき点は、インターネット回線を利用するということ、自社のサーバ室ではなくサービスの提供者が管理するデータセンターにサーバを保管するということ、クラウドサービス事業者側に運用やデータ管理を依存するということです。これらは利用者にとって情報システムの保守、運用、管理に関する負担が軽減されるなどのメリットがある一方で、情報セキュリティ対策をサービス事業者に大きく依存することになります。
そのため、クラウドサービスを利用する際には、事業者が以下のような情報セキュリティ対策を継続して適切に行っているかどうかを確認した上で選定する必要があります。
| クラウドサービス事業者が行うべき主要な情報セキュリティ対策 |
|---|
| データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など) |
| データのバックアップ |
| ハードウェア機器の障害対策 |
| 仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性(ぜいじゃくせい)の判定と対策 |
| 不正アクセスの防止 |
| アクセスログの管理 |
| 通信の暗号化の有無 |
これらの対策内容については、利用するサービスや業務システムの機密性や可用性の要求レベルによって、必要となる項目やレベルが異なります。利用するクラウドサービスのサービス条件などを、事業者との契約内容や規約で確認して、十分な情報セキュリティ対策を行っている事業者やサービスを選定するようにしてください。
実際にクラウドサービスを利用するに際しては、情報セキュリティポリシーを整備し、バックアップやアカウント管理などの情報セキュリティ対策を十分にしておくこと、社員・職員にポリシーを遵守させることも重要です。