クラウドサービスは、利用者側が最低限のインターネット接続環境を用意すれば、インターネットを通じてアプリケーションやストレージなどのさまざまなサービスの提供が受けられるサービスです。
企業や組織において、社内の情報資産をクラウドサービスに預けるという利用が進んでいます。クラウドサービスには、一般の企業や組織が共有して利用するパブリッククラウドサービスと、特定の企業・組織向けのプライベートクラウドサービスがあります。ここではおもにパブリッククラウドサービスを利用する際の注意点を説明します
クラウドサービスは、これまでのパッケージソフトや独自に構築していたサービスや業務システムを利用する場合と比較すると、その特性に応じた情報セキュリティ対策が要求されます。
特に注意すべき点は、インターネット回線を利用するということ、自社のサーバ室ではなくサービスの提供者が管理するデータセンターにサーバを保管するということ、クラウドサービス事業者側に運用やデータ管理を依存するということです。これらは利用者にとって情報システムの保守、運用、管理に関する負担が軽減されるなどのメリットがある一方で、情報セキュリティ対策をサービス事業者に大きく依存することになります。
そのため、クラウドサービスを利用する際には、事業者が以下のような情報セキュリティ対策を継続して適切に行っているかどうかを確認した上で選定する必要があります。
| クラウドサービス事業者が行うべき主要な情報セキュリティ対策 |
|---|
| データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など) |
| データのバックアップ |
| ハードウェア機器の障害対策 |
| 仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性(ぜいじゃくせい)の判定と対策 |
| 不正アクセスの防止 |
| アクセスログの管理 |
| 通信の暗号化の有無 |
