クラウドサービス導入時のセキュリティチェックリスト活用法
クラウドサービスを導入する際に、そのクラウドサービス自体の安全性が担保されているかをどのようにチェックしていますか。どんな項目を確認すればよいか悩ましい場合には、経済産業省より公開されているチェックリストを参考にすることがおすすめです。チェックリストを確認することで、データの取り扱いや管理体制、セキュリティ対策の信頼性に関して何をチェックすればよいのかを確認することができます。
公開されているリストはかなり古いものになりますが、項目については参考になる部分も多いと思いますので、今回の記事では、セキュリティチェックリストの活用方法と、なぜセキュリティチェックリストが重要なのか、背景などを紹介します。
目次
セキュリティチェックリストとは
2010年8月に経済産業省より、クラウドサービスを契約する前にチェックするべき項目としてチェックリストが公開されました。一部抜粋した表を次に挙げます。
|
種別 |
サービスレベル項目例 |
概要 |
|---|---|---|
|
可用性 |
・サービス時間 |
サービスが継続して稼働できる能力や、サービス停止時に事前に通知があるかなどのチェック |
|
信頼性 |
・平均復旧時間(MTTR) |
障害発生時の復旧までの時間や発生状況など、信頼性をチェック |
|
性能 |
・応答時間 |
バッチ処理に要する時間や、応答性など性能のチェック |
|
拡張性 |
・カスタマイズ性 |
将来的な機能拡張性がどの程度あるのかのチェック |
|
サポート |
・サービス提供時間帯(障害対応) |
障害発生時の対応や問い合わせなどサポート体制のチェック |
|
データ管理 |
・バックアップの方法 |
バックアップや保護、更新など、データをどのように管理しているのかのチェック |
|
セキュリティ |
・公的認証取得の要件 |
セキュリティに関してどの程度の対応が行われているかのチェック |
事業者側もチェックリストにどの程度対応しているのか公開していることも多く、現在でも1つの指標として使用されています。
チェックリストが策定された理由
チェックリスト策定の背景として、企業や個人の機密性の高いデータを外部のクラウド事業者提供するサービスに投入することになるため、どのように管理されているのか懸念を抱くことがあるかと思います。データの取り扱いや管理体制、セキュリティ対策の信頼性に関して、不安視されることもあります。
また、クラウドサービスは本質的にネットワークを介したサービス提供となるため、通信回線の品質や安定性、サーバーの稼働状況、さらにはサイバー攻撃などのセキュリティリスクへの対応も重要な課題です。
事業者と利用者が事前にチェックリストを用いて必要な項目を確認し合うことで、安全で効率的なクラウドサービスの活用につなげることを目的としています。
セキュリティチェックリストを活用する意味
セキュリティチェックリストを活用する意味として次の3つの内容が挙げられます。
- 情報漏洩への対応
- 従業員のセキュリティへの認識を高める
- SaaSツールを社内に導入する際にその製品が安全に使えるかの判断基準として
それぞれの内容を詳しくみていきましょう。
情報漏洩への対応
セキュリティチェックリストの活用は、情報漏洩対策として重要な役割を果たします。利用者側がチェックリストに基づいてクラウドサービスを選定することで、必要なセキュリティ要件を満たしたサービスの利用が可能です。
クラウド事業者側もチェックリストの基準を満たすことは最低限必要になるため、構築・運用に関して一定のセキュリティ水準が確保されます。
システムの脆弱性を突いた不正アクセスや、パスワード管理の不備による情報漏洩など、セキュリティ上の重大なリスクの軽減が可能です。
従業員のセキュリティへの認識を高める
チェックリストの内容を組織全体で共有し、実際の確認作業を行うことで、従業員一人ひとりがセキュリティリスクと対策の具体的な理解を深められます。
また、クラウドサービスのセキュリティ項目を学ぶことは、他のITサービスを利用する際にも活かせるでしょう。セキュリティの脆弱性がどこに潜んでいるのか、どのような対策が必要なのかを理解することで、従業員はさまざまなサービスのセキュリティレベルを適切に判断できる力を養えます。
SaaSツールを社内に導入する際にその製品が安全に使えるかの判断基準として
SaaSツールを社内に導入する際、セキュリティチェックリストは重要な判断基準として機能します。数多くのSaaSツールが市場に存在しているため、各サービスのセキュリティ対策や情報管理体制が不透明な場合、自社の要件に適合するサービスを適切に選定することが困難な状態です。
チェックリストを活用することで、セキュリティ面での具体的な評価基準が明確になり、膨大なSaaSツールの中から自社に適したものを効率的に絞り込めます。データの暗号化レベルやアクセス制御機能、バックアップ体制などの重要な要素が明確になり、統一的な基準で比較検討できることは、安全なツール導入の助けとなるでしょう。
セキュリティチェックリストの構成内容とポイント
セキュリティチェックリストを活用する際は、次のポイントに気を付けなければなりません。
- 自社の業界におけるセキュリティガイドラインを守る
- テンプレートに依存せず自社にフィットしたチェック項目が盛り込まれている
それぞれの注意点を詳しく解説します。
自社の業界におけるセキュリティガイドラインを守る
セキュリティチェックリストを活用する際は、業界特有のセキュリティ要件にも気を付けましょう。各業界では、特性に応じた独自のセキュリティガイドラインが制定されています。
中小企業向けにはIPAが包括的なセキュリティガイドラインを提供し、医療分野では厚生労働省が医療情報システムの安全管理に関する詳細なガイドラインを発行しています。
また、自動車産業や金融業界などのガイドラインもあり、それぞれの分野で固有のセキュリティ基準が設けられているため確認が必要です。
テンプレートに依存せず自社にフィットしたチェック項目が盛り込まれている
一般的なテンプレートをそのまま使用するのではなく、自社の実情に合わせてカスタマイズすることも重要なポイントです。企業が保有する情報資産の価値や機密性のレベル、従業員のITリテラシー、業務プロセスの特性は、企業ごとに大きく異なります。
高度なセキュリティ対策の実施には、システム投資や人材育成などで相応のコストとリソースが必要です。そのため、自社が保有する情報の重要度を適切に評価し、リスクとコストのバランスを考慮しながら、実行可能で効果的なチェック項目を設定しなければなりません。
セキュリティチェックリスト実践後の対応
セキュリティチェックリストの実践後は、結果に基づいたクラウドサービスの選定が必要です。チェックリストの評価により、自社が直面している脅威の種類や現在のセキュリティレベルが明確になるため、チェック結果に即したセキュリティ機能をそなえたクラウドサービスを選定できます。
SaaSサービスやベンダーを選定する際は、信頼性の指標として各種認証規格の取得状況を確認することも効果的です。例えば、「プライバシーマーク」は個人情報保護の体制が整っていることを示し、「ISO27001」などの国際規格は、情報セキュリティマネジメントシステムが適切に運用されていることを証明します。
セキュリティチェックを実践しないことで起こり得る脅威
SaaSは、複数ユーザーが同時にアクセスして作業できる利便性を提供する一方で、不正アクセスや情報漏洩のリスクも内包しています。セキュリティチェックを怠ると、これらのリスクが顕在化する可能性が高まるでしょう。
また、導入したSaaSが自社のセキュリティ要件を十分に満たしていない場合、重要なデータが適切に保護されない状況になりかねません。特に、情報取り扱い者の制限が適切に実行されない場合、意図しない情報アクセスや改ざん、データの流出につながる危険性があるため注意が必要です。
まとめ
今回の記事では、セキュリティチェックリストを解説しました。
SaaSツールを社内に導入する際などに、セキュリティチェックリストは重要な判断基準として機能します。チェックリストを活用することで、セキュリティ面での具体的な評価基準が明確になり、膨大なSaaSツールの中から自社に適したものを効率的に絞り込めるでしょう。導入したSaaSが自社のセキュリティ要件を十分に満たしていない場合、重要なデータが適切に保護されない状況になりかねないため、事前の確認を怠らないことをおすすめします。
ぜひお気軽にご相談ください
ゼロトラストの構成要素に欠かせない統合的なID管理を実現します。
\詳しいPDF資料はこちら/
資料ダウンロードはこちら \お見積りや導入のご相談はこちら/
お問い合わせはこちら 
無料デモ依頼
資料ダウンロード
