デジタル時代におけるクラウドガバナンスを構築するポイント

増えるシャドーIT、高まるセキュリティリスク

新型コロナウィルス感染症の拡大に伴うリモートワークの普及の影響もあり、クラウドサービスを利用する企業は増えています。一方で、事業部門や従業員が個別に利用を開始したクラウドサービスを全社のIT部門が把握・管理できていない、いわゆる「シャドーIT」が増えており、情報漏洩や不正アクセス、データ消失といったセキュリティリスクが高まっています。

また、クラウドは従来のオンプレミスと異なり、すぐに利用できる点が大きな魅力である一方で、ユーザー企業はクラウドサービスの構造的な問題を見落としがちです。それは、「クラウドサプライチェーン」と呼ばれるものであり、ユーザー企業が直接契約しているクラウド提供事業者の背後には、そのクラウドサービスを構築、運用するために委託を受けた数多くの企業が存在しています。クラウドサービスの開発と運用が、取引先から委託先、さらに再委託先へと引き渡され、サービス全体が成り立っているのです。つまり、クラウドのユーザーである企業は直接取引している事業者に対してだけでなく、その背後にいる委託先企業に、サービスの継続やデータのセキュリティを委ねていることになります。背後にいる委託先企業への責任はクラウド提供事業者が負っているとはいえ、ユーザー企業はクラウドサービスを選定する際に、クラウド提供事業者の委託先管理体制、情報管理体制などを確認しておく必要があります。

クラウドサプライチェーンの複雑化によって、システムの安定運用に関する課題も増加しています。システム障害時に、原因を特定し、復旧するまでにいくつもの階層の事業者がかかわっていることで、サービス停止の時間が長引くなどの危険性があることをあらかじめ把握しておきましょう。

クラウドサプライチェーンでは、コンプライアンスのリスクも高まります。特に海外拠点にデータセンターを保有する場合など、データ保護に関する法令遵守違反などの可能性がないか確認する必要があります。また、経済安全保障推進法においてクラウドプログラムは「特定重要物資」に指定されており、デジタル時代の価値の源泉であるデータとその管理方法について、クラウド提供事業者側のデータ保護や開示請求に関する体制整備の有無を確認することも重要なポイントです。

一方で、「設定に誤りや漏れがある」「パスワード設定が不十分である」など、クラウド提供事業者ではなく、ユーザーに起因するインシデントも最近は増えています。例えば、クラウドストレージの公開範囲の設定をミスしてしまうことで、機密情報の漏えいなどのインシデントが発生する危険性があります。クラウドの選定・利用責任はユーザー側にあることを前提に、クラウドサプライチェーンのエンド・ツー・エンドのリスクを把握し、全社的なルールや統制を検討することが必要です。

第三者機関の認証有無もクラウド選定基準の1つ

ユーザー企業自身がクラウド提供事業者やそのサービスのチェックを行う際に、確認項目を1つずつ確認するのは手間がかかります。そんな時に活用が推奨されるのが第三者機関による認証です。今回は「ISMAP」と「SOCレポート」の2つを紹介します。

ISMAPは、日本政府がクラウドサービスに対して、政府内の情報システムのためのセキュリティ要件を定めた評価制度です。内閣サイバーセキュリティセンター（NISC）、デジタル庁、総務省、経済産業省が共同で運営しており、監査、運用は独立行政法人情報処理推進機構（IPA）が行っています。政府の調達基準を満たしたクラウドは、より信頼性の高いものといえます。ISMAPは2020年から運用されており、現在、国内外73社のクラウドサービスが認証を受けています。最近では国内クラウドも認定を受けたことで話題となっています。

SOCレポートは、監査法人が独立した第三者の立場から、ある特定の業務の受託会社における内部統制の有効性を客観的に検証し、保証したものです。SOCレポートにはいくつか種類がありますが、その中でもSOC2レポートはセキュリティ、可用性、機密保持、プライバシーなどのシステム管理における内部統制を保証しています。SOC2レポートを取得しているクラウド提供事業者は、システム管理上のリスクに対して統制が取れた環境でサービスを提供していることが証明されているといえます。

クラウドサービスを選定する際に、上記のような第三者機関による認証を有効に活用することで、選定時にかかる労力を抑えることができます。