📝
クラウドサービス安全利用の手引きにある内容を一つの表にまとめ直した
これは何
- IPAが公開している「クラウドサービス安全利用の手引き」にあるチェックリストや解説を、社内ルールを検討する際の参考資料として使いやすくするために表にまとめ直しました。
参照資料
- 中小企業のためのクラウドサービス安全利用の手引き
- IPA 独立行政法人 情報処理推進機構
- https://www.ipa.go.jp/security/sme/f55m8k0000001wpl-att/outline_guidance_cloud.pdf
まとめ直した表
マークダウン記法で表にしている関係で、Zennで見ると縦長ですが、エクセル等の表に転記して調整してみてください。
| No | やること | カテゴリ | 観点 | 具体例 | 解説 | 関連情報/制度等・補足 |
|---|---|---|---|---|---|---|
| 1 | どの業務で利用するか明確にする | 選択するときのポイント | どの業務をクラウドサービスで行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましたか? | 社内の情報共有のために、 ⚫︎グループウェアを利用し、社員のスケジュール管理を行う ⚫︎オンラインストレージに製品カタログを保存して営業部門で共有する ・・・など |
クラウドサービスでどの業務を行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましょう。 | |
| 2 | クラウドサービスの種類を選ぶ | 選択するときのポイント | 業務に適したクラウドサービスを選定し、どのようなメリットがあるか確認しましたか? | 社外でも業務ができるようにしてコストを削減するために、 ⚫︎経費精算にクラウドサービスを利用することで外出先や自宅などどこでも業務ができるようにする ⚫︎経費精算に関わる社内の作業時間を短縮し、サービス利用料を上回るコストを削減する ・・・など |
業務に適したクラウドサービスを選び、メリットについて確認しましょう。 | |
| 3 | 取扱う情報の重要度を確認する | 選択するときのポイント | クラウドサービスで取扱う情報が漏えい、改ざん、消失したり、サービスが停止した場合の影響を確認しましたか? | お客様の個人情報をクラウドサービスに保存していてサイバー攻撃で個人情報が漏えいした場合の影響は、 ⚫︎悪用などで本人に多大な迷惑がかかる ⚫︎本人への謝罪、補償や関係者への連絡が必要になる ⚫︎個人情報保護委員会に報告が必要になる ⚫︎被害拡大防止や再発防止のために多額の費用が必要になる ・・・など |
クラウドサービスで取扱う情報が漏えい、改ざんされたり、消失、サービスが停止したときの影響を確認しましょう。 | |
| 4 | セキュリティのルールと矛盾しないようにする | 選択するときのポイント | 自社のルールとクラウドサービス活用との間に矛盾や不一致が生じませんか? | 給与計算をクラウドサービスで行うにあたり従業員のマイナンバーを登録する必要があるが、 ⚫︎マイナンバーを記載した書類やデータを社外に保存することは社内ルールで禁止されている ⚫︎そこで暗号化登録ができるサービスを利用し、暗号化した場合のみ社外の保存を許可するルールに変更する ・・・など |
セキュリティのルールとクラウドサービス活用との間に矛盾や不一致が生じないようにしましょう。 | |
| 5 | クラウド事業者の信頼性を確認する | 選択するときのポイント | クラウドサービスを提供する事業者は信頼できる事業者ですか? | 会計業務をクラウドサービスに移行するにあたり、長期間利用できてセキュリティ対策を常に改善しているサービスを選択するため、 ⚫︎事業者が公表している財務情報を確認する ⚫︎利用者数などの実績を問い合わせる ⚫︎事業者の情報セキュリティ方針や関連した認証・認定制度の取得状況を確認する ・・・など |
クラウドサービスを提供する事業者は信頼できる事業者を選択しましょう。 | ISMAP(政府情報システムのためのセキュリティ評価制度) ISMSクラウドセキュリティ認証 クラウド情報セキュリティ監査制度 ASP・SaaS情報開示認定制度 情報処理支援機関(スマートSMEサポーター)制度 |
| 6 | クラウドサービスの安全・信頼性を確認する | 選択するときのポイント | サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証は示されていますか? | 店舗にクラウド型POSレジを導入するにあたりサービスが常に動いている必要があるため ⚫︎事業者またはプラットフォーム事業者が公表している品質保証基準(SLA)を確認する ⚫︎システムの障害でデータ消失などの被害が発生したときにどこまでが事業者の責任で、どこからが利用者の責任なのか利用規約で確認する ・・・など |
サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証を確認しましょう。 | SLA(Service Level Agreement)は、「サービス及び合意されたサービスレベルを文書化した、サービスプロバイダと顧客間の書面による合意。(ISO/IEC20000-1)」です。 |
| 7 | 管理担当者を決める | 運用するときのポイント | クラウドサービスの特性を理解した管理担当者を社内に確保していますか? | クラウド型顧客管理システムの運用にあたり、 ⚫︎入力項目やその活用については営業部長が担当する ⚫︎技術的な設定や社内のヘルプデスクはシステム管理者が担当する ・・・など |
クラウドサービスの技術的な側面などの特性を理解したうえで、業務に適した運用や設定・操作・ヘルプデスクを行うことができる、管理担当者を社内に確保しましょう。 | |
| 8 | 利用者の範囲を決める | 運用するときのポイント | クラウドサービスを適切な利用者のみが利用可能となるように管理できていますか? | 販売管理をクラウドサービスで行うにあたり、 ⚫︎社長と販売部門従業員だけに利用者アカウントを作成する ⚫︎承認権限は従業員の上司に付与する ・・・など |
クラウドサービスを利用する人の範囲を決め、どのような権限を与えるか適切に管理しましょう。 | |
| 9 | 利用者の認証を厳格に行う | 運用するときのポイント | パスワードなどの認証機能について適切に設定・管理は実施できていますか?(共有しない、複雑にするなど) | なりすましや不正ログインを防ぐために、 ⚫︎パスワードは破られにくい安全なパスワードを利用する ⚫︎ID・パスワードの共有はしない ⚫︎サービスで以下の認証方式が提供されている場合は利用する 特定のパソコンでしか利用できないように電子証明書をインストールする パスワードを不正利用されてもログインはできないように**「2段階認証」を用いる** ・・・など |
パスワードなどの認証機能を適切に設定・管理しましょう。 | 電子証明書は、インターネットでクラウドサービスを利用するときに特定のPCからしかアクセスできないように制限するための「身分証明書」です。2段階認証は、複数の要素(記憶、所持、生体情報)を用いた認証方式である「多要素認証」や、同じ要素の認証を多段で実施する認証方式です。 |
| 10 | バックアップに責任を持つ | 運用するときのポイント | サービス停止やデータの消失・改ざんなどに備えて、重要情報を手元に確保して必要なときに使えるようにしていますか? | 会計データやホームページなど消失や改ざんの影響が大きいものは ⚫︎クラウドサービスの拡張機能にバックアップがある場合は利用する ⚫︎定期的に社内の専用ハードディスクなどにもバックアップを取得する ⚫︎直前のバックアップよりもさらに過去の状態に遡って復元できるように複数世代のバックアップを取得する ・・・など |
サービス停止やデータの消失・改ざん等に備えて、重要情報を手元に確保して、必要なときに使えるようにしましょう。 | 複数世代とは、毎月バックアップを取得する場合に前月だけでなく2ヶ月前、3ヶ月前のように複数のバックアップを取得しておくことです。 |
| 11 | 付帯するセキュリティ対策を確認する | セキュリティ管理のポイント | サービスに付帯するセキュリティ対策が具体的に公開されていますか? | サイバー攻撃や通信傍受に対する対策が十分されているか ⚫︎通信の暗号化 ⚫︎ファイアウォールや侵入検知 ⚫︎ウイルス対策 ⚫︎サービスで使っているOSやソフトウェアの脆弱性対応・セキュリティパッチの適用について公開されているか確認する ・・・など |
クラウドサービスにおけるセキュリティ対策が具体的に公開されているか確認しましょう。 | |
| 12 | 利用者サポートの体制を確認する | セキュリティ管理のポイント | サービスの使い方がわからないときの支援(ヘルプデスクやFAQ)は提供されていますか? | クラウドサービスを社内のシステム担当者不在の週末も利用するため、 ⚫︎サポートの受付時間(週末夜間も受付可能か) ⚫︎連絡方法(メール、電話、チャット、オンライン、のうちパソコンがない事務所から週末も電話連絡可能か) ⚫︎料金(頻繁に問い合わせた場合に料金はどのぐらいか)を確認する ・・・など |
サービスの使い方がわからないときの支援(ヘルプデスクやFAQ)が提供されているか確認しましょう。 | |
| 13 | 利用終了時のデータを確保する | セキュリティ管理のポイント | サービスの利用が終了したときの、データの取扱い条件について確認しましたか? | 利用中のクラウド型会計システムを他のクラウドサービスに変更するにあたり ⚫︎過年度データを含む全データを返却または社内のパソコンなどにダウンロードできるか ⚫︎データのフォーマットは他のサービスと互換性があるか ⚫︎移行先のサービスは返却されたデータを一括して取り込む機能があるか ⚫︎返却後にシステム上に残るデータは完全に消去または再利用されないことが保証されているかを確認する ・・・など |
サービスの利用が終了したときの、データの取扱い条件について確認しましょう。 | |
| 14 | 適用法令や契約条件を確認する | セキュリティ管理のポイント | 個人情報保護などを想定し、一般的契約条件の各項目について確認しましたか? | クラウドサービスに秘密情報や個人情報を保存するため ⚫︎利用者が入力したデータにサービス事業者がアクセスする場合の条件や責任について明記されているか ⚫︎設備の保守等を再委託している場合の再委託先の管理監督責任について明記されているか ⚫︎利用者が入力した個人情報に関して個人情報保護法に準拠することが明記されているか(安全管理措置、委託先の監督)を確認する ・・・など |
個人情報保護など関連法規制の遵守などを規定した利用規約等について確認しましょう。 | |
| 15 | データ保存先の地理的所在地を確認する | セキュリティ管理のポイント | データがどの国や地域に設置されたサーバーに保存されているか確認しましたか? | インターネットを通じて商品やサービスを海外に販売する越境ECを開店するにあたり、 ⚫︎プラットフォームを構築するデータセンターの所在国・地域と現地の個人情報保護に係わる法律・規制を確認する ⚫︎現地の法律・規制に基づきプライバシーポリシー制定や個人情報の取り扱いについて事前に承諾を得るためのオプトインシステムを導入する ・・・など |
データがどの国や地域に設置されたサーバーに保存されているか確認しましょう。 | ・個人情報保護法第24条外国第三者提供個人データを外国にある第三者に提供する場合は、あらかじめ本人の同意を得なければならないことがあります。 ・EU一般データ保護規則(General Data Protection Regulation:GDPR)日本国内の企業でも欧州経済領域(European Economic Area:EEA、EU加盟国28ヵ国、ノルウェー、アイスランド、リヒテンシュタイン)と個人データをやり取りする場合に適用対象となります。 ・アメリカ・カリフォルニア州 消費者プライバシー法(California Consumer Privacy Act:CCPA)アメリカカリフォルニア州民の個人データを守るための法律です。 ・中国・個人情報保護法(Personal Information Protection Law:PIPL)中華人民共和国におけるデータのプライバシーと保護に関し詳細な規則を定めた法律です。 |
Discussion