ユーザーの留意点
過去にあるユーザーでは、ベンダーがSOCレポートを公表していることを確認することで「セキュリティ上の問題なし」と判断している例があった。英語表記であり、内容の分析に相応の負担が掛かるのは否めないが、それは早計な判断である。SOCレポートはあくまでも評価レポートであり、自社で定めるセキュリティ基準への準拠性を担保したものではない。また、同じSOCレポートでも、詳細度や文書の物理的な厚みもさまざまな状況なのである。
レポート内容によっては、十分な実態が把握できない表現にとどまっているレポートもあるため、SOCレポート入手後は、自社の要求事項との適合性の確認を実施いただきたい。
コントロールレベルで例を挙げると、「特権IDは必要最低限の担当者に割り振っている」ことは確認しても、ここで「必要最低限」とは、日常的利用者、緊急時利用者、年に一度の利用者……など、どこまでを想定しているのかは、明記されているレポートもあれば、特に記載のないレポートもある。
システムの用途や取り扱い情報の重要性をふまえて、必要に応じてSOCレポートの情報に加えて、ベンダーに個別照会するの対応が発生する場合もあることを留意いただきたい。
コンプライアンスや各国規制への対応
クラウド利用におけるコンプライアンスの関心事項として、EUや英国で十分なデータ保護レベルを確認できない国へのデータ移動を禁止する法律「EUデータ保護指令」や米国を中心にした海外訴訟などで必要とされる電子証拠開示(eディスカバリ)が挙げられるが、多くのベンダーはその影響や対策について、ウェブサイトやホワイトペーパー、セミナーなど、さまざまな機会で説明している。
また、各国固有の規制への対応状況の説明にも積極的な姿勢を見せるベンダーも多くなっている。例えば、一般的システムリスク管理の成熟度が高い金融業界に対して、金融業界で主に参考とする基準などへの準拠や、各種検討部会への参画も公表している。
データセンターについても、一部の海外ベンダーは国内に一部センターを設置するなどの動きが出てきている。
まとめ
クラウドリスクが議論されて以降、ベンダーとしても利用拡大の阻害要因にならないように、一つひとつ改善を進めているが、説明が不十分な点も否めない。またユーザーとしても、クラウド環境のリスクを十分に見極め、また、クラウドのメリットを十分に活かすためには、もう少し、時間と経験が必要だろう。
まだまだ若い市場であるからこそ、引き続きユーザーとベンダーが信頼関係を築き、ともに改善を進めていくことが、お互いの利益につながるのではないだろうか。
- 酒井慎
- デロイト トーマツ リスクサービス株式会社 シニアマネジャー 金融機関を中心に、幅広い業種に対してシステムリスク管理や情報セキュリティ管理に関するコンサルティング業務を提供。クラウドの有効活用を目的とした、クラウドリスク管理に関する業務を多数実施している。