クラウドアレルギーの処方箋

クラウドベンダーの開示情報をどのように解釈するか

酒井慎 2015年07月29日 07時00分

  • このエントリーをはてなブックマークに追加

 これまでユーザーがクラウド環境を利用する際に考慮すべきリスクや、そのリスク管理方法について、全4回にわたり解説してきた。

 最終回の今回は、特に海外主要パブリッククラウドベンダーの情報公開の動向について整理を進めたい。ベンダーから公開される情報には制約がある。公開情報と非公開情報を見極めることが、ユーザーのリスク管理として欠かせないものとなる。

 ベンダーから公開された情報を分析するには、専門性の高いスキルを要する場合もあるが、ユーザーとして、まずは提供された情報をどのような位置づけで受け止めるかについて、ご理解いただけると幸いである。

 なお、本稿は著者の私見である。

パブリッククラウド環境における情報開示の限界

 最初に、情報開示におけるベンダー側の事情を整理する。

 ユーザーが仮に個人情報や企業の機密情報の取り扱いや基幹業務などでクラウド環境を利用する際、予めベンダーに対して「信頼できる相手先であるか」を確認する。

 ユーザーはリスク評価活動などを通じてこの問いに対する解を得ていくのであるが、ここでパブリッククラウド固有の情報開示の制約が出てくる。

 パブリッククラウドは、不特定多数のユーザーに対して一律のサービスを提供することでサービス上のメリットを享受できる場合が多いが、その環境リスクへのベンダーの対応状況を広く多くのユーザーに対して公表するとセキュリティリスクの拡大が懸念される。

 そのため、限られたユーザーに対して第三者による認証や評価結果を開示することが一般的である。

 ただ、ここでご理解頂きたいのは「認証や第三者評価レポートが公表されていればセキュリティ上の懸念がない」とは判断できない点である。

 以降にて、多くのベンダーで公表されている認証と第三者評価レポートについて、ユーザーとしての留意点とともに解説する。

情報セキュリティ関連の認証取得

 セキュリティ管理の有効性をユーザーに示すためには、自社におけるセキュリティ管理ルールの網羅性や十分性を担保していることを客観的に説明する必要に迫られる。ベンダーはこれらセキュリティ管理の有効性をユーザーに説明するための手段として、セキュリティ関連の認証取得を進めている。特に、「情報セキュリティマネジメントシステム(Information Security Management System:ISMS)(国際規格ISO/IEC27001)」は取得例が多い。

 ISMSは、情報セキュリティの3要素を「機密性」「完全性」「可用性」と定め、これらを阻害するリスクを管理するためのマネジメントプロセスを、PDCAの観点で整備し、継続的に運用することが期待されている。

 ISMSでは133項目の詳細管理策が定められており、具体的な管理事項が確認できるのが特徴といえる。

ユーザーの留意点

 ISMSはあくまでもマネジメントシステムであり、インシデントが起こらないことを保証するものではない。また、プロセスとして内部監査手続きなどのモニタリング活動が定義されているものの、継続的なセキュリティ管理環境を担保しているものではない。

 あくまでも、セキュリティに関する管理手続きが整備・運用されていることを示すものであり、リスクがないことを示すものではないため「ISMSの認証があれば大丈夫」と早合点してはいけない。企業としてのセキュリティ管理に対する取り組み姿勢の理解や、必要最低限の管理統制の整備状況の確認としては有効に働くが、過大な評価は避けるべきである。

 自社のセキュリティルールとの整合性の確認を最優先とし、拙速な判断を下さないように留意すべきだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]