これまでユーザーがクラウド環境を利用する際に考慮すべきリスクや、そのリスク管理方法について、全4回にわたり解説してきた。
最終回の今回は、特に海外主要パブリッククラウドベンダーの情報公開の動向について整理を進めたい。ベンダーから公開される情報には制約がある。公開情報と非公開情報を見極めることが、ユーザーのリスク管理として欠かせないものとなる。
ベンダーから公開された情報を分析するには、専門性の高いスキルを要する場合もあるが、ユーザーとして、まずは提供された情報をどのような位置づけで受け止めるかについて、ご理解いただけると幸いである。
なお、本稿は著者の私見である。
パブリッククラウド環境における情報開示の限界
最初に、情報開示におけるベンダー側の事情を整理する。
ユーザーが仮に個人情報や企業の機密情報の取り扱いや基幹業務などでクラウド環境を利用する際、予めベンダーに対して「信頼できる相手先であるか」を確認する。
ユーザーはリスク評価活動などを通じてこの問いに対する解を得ていくのであるが、ここでパブリッククラウド固有の情報開示の制約が出てくる。
パブリッククラウドは、不特定多数のユーザーに対して一律のサービスを提供することでサービス上のメリットを享受できる場合が多いが、その環境リスクへのベンダーの対応状況を広く多くのユーザーに対して公表するとセキュリティリスクの拡大が懸念される。
そのため、限られたユーザーに対して第三者による認証や評価結果を開示することが一般的である。
ただ、ここでご理解頂きたいのは「認証や第三者評価レポートが公表されていればセキュリティ上の懸念がない」とは判断できない点である。
以降にて、多くのベンダーで公表されている認証と第三者評価レポートについて、ユーザーとしての留意点とともに解説する。
情報セキュリティ関連の認証取得
セキュリティ管理の有効性をユーザーに示すためには、自社におけるセキュリティ管理ルールの網羅性や十分性を担保していることを客観的に説明する必要に迫られる。ベンダーはこれらセキュリティ管理の有効性をユーザーに説明するための手段として、セキュリティ関連の認証取得を進めている。特に、「情報セキュリティマネジメントシステム(Information Security Management System:ISMS)(国際規格ISO/IEC27001)」は取得例が多い。
ISMSは、情報セキュリティの3要素を「機密性」「完全性」「可用性」と定め、これらを阻害するリスクを管理するためのマネジメントプロセスを、PDCAの観点で整備し、継続的に運用することが期待されている。
ISMSでは133項目の詳細管理策が定められており、具体的な管理事項が確認できるのが特徴といえる。
ユーザーの留意点
ISMSはあくまでもマネジメントシステムであり、インシデントが起こらないことを保証するものではない。また、プロセスとして内部監査手続きなどのモニタリング活動が定義されているものの、継続的なセキュリティ管理環境を担保しているものではない。
あくまでも、セキュリティに関する管理手続きが整備・運用されていることを示すものであり、リスクがないことを示すものではないため「ISMSの認証があれば大丈夫」と早合点してはいけない。企業としてのセキュリティ管理に対する取り組み姿勢の理解や、必要最低限の管理統制の整備状況の確認としては有効に働くが、過大な評価は避けるべきである。
自社のセキュリティルールとの整合性の確認を最優先とし、拙速な判断を下さないように留意すべきだ。
