クラウド利用時のリスク評価に悩む担当者さん必見

委託契約を締結してクラウドサービスを利用する場合、あるいはサービス提供者の約款に同意してクラウドサービスを利用する場合を問わず、業務にクラウドサービスを用いようとするなら、メリットだけを考える愚行は慎み、クラウドサービスを業務で使う場合のリスクを洗い出し、そのリスクが許容出来るのか、低減する措置を講じることが可能であるのか、を十分に検討する必要があります。

リスクを洗い出せる能力を持つ人は限られている

「クラウドサービスのリスクを洗い出し、そのリスクが許容出来るのか、低減する措置を講じることが可能であるのか、を十分に検討のうえで利用する」というのは、政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)の中でも述べられています。

クラウドサービスに限らず、調達しようとするシステムにどんなリスクがあるのか把握し、その対策を行うことは、システム調達に関わる人にとって必須のスキルです。が、残念なことに、このようなリスクコントロール能力を持つ人は多くありません。

どうやってパブリッククラウドのリスク評価をすればよいのか悩んでいる情報セキュリティ担当者さんも多いと思います。

リスクコントロールは日常生活の中にもある
情報セキュリティ対策におけるリスクコントロールと聞くと、難しそうでアレルギー反応を起こす人もいるでしょうが、実は我々は日常生活の中で自然とリスクコントロールの感覚を身に付けていたり、教えられていたりします。

「このシステム、サービスにはどんなリスクがあるのか」は、我々利用者側がリスクを洗い出さない限り見えず、クラウドサービス提供者やシステムベンダーも、利用者の負うべき責任には事細かに言及しても、自身のシステムには利用者に対して、このようなリスクがあるから気を付けて、なんて、詳細に説明することはありません。

リスクチェック用のリストは少ない

サービス提供者やシステムベンダーの言いなりで、どんなリスクがあるのか検討もしないで潜在的なリスクのあるシステムやサービスを利用している組織も実は少なくないです。経営層がリスクを評価もせず、仕事の付き合いだからという理由だけで導入しているシステムもあるでしょう。そのようなシステムでも、運良く何もインシデントが起こらず使っているうちは良くても、いざ問題が起こると、「そんなリスクがあると知らなかった」という、誰も納得してくれない言い訳をすることになります。

そうならないために、ちゃんとリスク評価をする必要があると分かっている人も、実際にどんなリスクがあるのか、を自分で洗い出すには限界があり、リスクチェックに使えるリストをWebで探してみるも、セキュリティ対策チェックリストはいくつか見つけられても、どんなリスクがあるのかを教えてくれるチェックシートは少ないのが現状です。

セキュリティ対策チェックリストは、何かのリスクを軽減するための対策集ですが、「こんなリスクがある。だからこんな対策が必要だ」という作りではありません。○○を○○しているか、というチェックは出来ても、どんなリスクがあるか、はチェック出来ないのです。

リスクは千差万別

セキュリティ対策はこれまで培われた一般的な対策を行うので、それをやっているか、いないか、をチェック出来ます。

しかしリスクは、機密性、可用性、完全性それぞれに、利用するシステム、サービス、扱う情報、利用者種別、環境、など様々な要因が複雑に絡むため、それを全て網羅すると、列挙されるリスクは相当な数になり、それを一つ一つチェックしていくことは現実的ではありません。

よってリスクチェックリストなるものは、使えそうなものは見つけることが出来ず、結果、利用者それそれが、「リスクを洗い出し、そのリスクが許容出来るのか、低減する措置を講じることが可能であるのか、を十分に検討のうえで利用する」としか言えないのです。

クラウド利用時のリスク項目集

クラウドを利用する際に一般的に言われるサービス提供側にあるリスク、そして利用者側にあるリスクを洗い出し、そのリスクが許容出来るのか、低減出来るのか、を部署で検討し、システムやサービス利用の判断をしてもらうことが理想であり、政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)にも準拠します。

そのために、私もかなりの時間をかけて、システムやサービスを利用する部署がクラウドのリスクをチェックするためのシートを用意しようとしてきました。当初は雛形がないか探し回り、マイナンバーのPIAを参考に出来ないか、ISO/IEC27017の要求事項から抽出出来ないか、PIAやJ-LIS、NISC、総務省、経済産業省からドキュメントが出されていないか、とにかく探し回りましたが、そのまま使えそうなシートはなく、最後は自分で必要最低限に絞り込んだリスクチェックシートを作りました。

クラウドを業務利用する際に洗い出したリスク

私が自組織でクラウドを利用する際、特に約款に同意して利用する際に、利用する部署で検討しなくてはならないリスクは次の通りです。皆さんの組織で約款に同意してクラウドサービスを利用する際のリスク評価のご参考になれば幸いです。

  • サービス提供時間やサポート時間・方法が限られているリスク
  • サービスのセキュリティポリシーが開示されず、自組織の対策基準を満たしているか判断が出来ないリスク
  • 自組織の監査(立ち入り検査)に応じない、あるいは応じても、どのサーバに情報が格納されているか不明なリスク
  • 障害発生時のリカバリーのタイミング等、情報システムの運用に関する内容が不明なリスク
  • バックアップするデータ形式が他の事業者のサービスで利用できず業務継続不可能となるリスク
  • バックアップが別媒体に任意に出来ないリスク
  • 同一サーバを複数利用者でシェアしている場合、セキュリティ対策をしていない利用者の影響を受けるリスク
  • サーバ資源の利用者ごとの分割が不適切なことによる情報漏えいが発生するリスク
  • 他の利用者のリソース消費量に影響を受け、可用性が保障されないリスク
  • データ保存量の上限やCPUのグレードをアップ出来ないリスク
  • サービスを利用終了した場合、情報が確実に消去されない、消去されたことが証明されないリスク
  • 突然のサービス停止に陥った場合、預けた情報の行方が保証されず、損害賠償も成されないリスク
  • 突然のサービス停止に陥った場合、業務が遂行出来なくなるリスク
  • 自組織の瑕疵により、サービス提供事業者、あるいは他の利用者から損害賠償請求されるリスク
  • サービス利用回数やデータ転送量などが所定の基準を超え別途課金が発生するリスク
  • 情報の保管場所が特定のデータセンターに固定されず、海外の法執行機関等に予期せずアクセスされるリスク
  • 規約の内容が、サービス提供事業者側の都合で、利用開始後に一方的に変更されるリスク
  • 準拠法に外国法を指定されたり管轄裁判所に海外の裁判所を指定されたりするリスク
  • 脆弱性対策が(迅速に)行われないリスク
  • サービス提供事業者の従業員が不正を行うリスク
  • サービス提供者事業者が情報を利用するリスク
  • システムのセキュリティ設定やアクセス制限の設定及び確認や見直しが出来る社内ユーザーがいないリスク
  • システム(アプリケーション)の不具合を改善出来る社内ユーザーがいないリスク
  • 業務内容の変更に応じて、システム(アプリケーション)にデータ項目を追加出来ない、機能追加出来る社内ユーザーがいないリスク
  • 社内ユーザーが他のサービスを(情報管理者の)許可無く利用するリスク
  • 許可していない端末(自宅PCや個人所有の携帯端末等を含む)からサービスにアクセスするリスク
  • 委託事業者、クラウドサービス提供事業者、自組織の責任分界点が不明瞭なリスク

他にも状況に応じたリスクが考えられるでしょうが、部署が独自にリスク評価をするための雛形として一般的に利用出来る内容を目指しています。(0.1版であり、今後も項目の見直しや評価方法の見直しを行っていきます。)

実際のチェックシートのイメージ

このシートは約款による外部サービス利用時のリスク評価に利用することを主な目的としていますが、システム開発業者と委託契約を締結し、受託者がパブリッククラウドを利用する場合でも、上記リスクについて担保させるため、必要な項目について仕様書や契約約款にて示されているか確認する必要があります。
約款による外部サービスの利用について
クラウドサービス提供者の利用規約に一方的に同意させられるサービスで、個人情報をはじめとする重要情報は取扱えるものではありません。要機密情報を扱うシステムに、便利で安価なパブリッククラウドを使いたければ、システム開発保守業者と業務委託契約を締結し、システムの機密性、可用性、完全性についての必要な対策を行わせ続けることを担保させるよう、政府は統一基準として求めているのです。
arisa
1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。
arisaをフォローする
外部委託・クラウドサービス
arisaをフォローする
情報セキュリティ対策の真実

コメント