中小企業がクラウドアプリを利用する際の情報セキュリティ対策

クラウドアプリとは

クラウドアプリとは、インターネットを介して利用できるアプリケーションのことです。

一昔前までは、自前でハードウェアやソフトウェアを用意し自社で利用するアプリケーションを動かすことが主流でした。クラウドアプリは、自前でハードウェアやソフトウェアを用意する必要が無く、利用料を払うことでアプリケーションを利用することができます。
設備投資を抑えることできるので、中小企業でもクラウドアプリを用いれば、大企業にも負けないくらいの情報システムをコストを掛けずに構築することが可能になりました。

情報セキュリティの責任範囲

クラウドアプリを動かしているハードウェアやソフトウェアは、クラウドサービス提供会社が管理・運用しています。利用者側は、クラウドアプリを使うためのPC、タブレット、スマホを用意するだけで済みます。

そのため、ほとんどの情報セキュリティ対策はクラウドサービス提供会社に任せることになります。

例えば、クラウドサービス提供会社は、次のような情報セキュリティ対策を行っています。

• データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
• データのバックアップ
• ハードウェア機器の障害対策
• OS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
• 不正アクセスの防止
• アクセスログの管理

クラウドサービス提供会社により、行っている情報セキュリティ対策は異なっており、その責任範囲も異なります。クラウドサービス提供会社の責任範囲を知るには、サービス利用規約やSLA(サービスの提供者と利用者で締結されるサービスのレベルについての合意)を確認する必要があります。

クラウドアプリの情報セキュリティ対策で確認する点

クラウドアプリを選ぶ際には、提供しているサービスが業務に合っているかどうかをもっとも重要視すると思います。加えて、クラウドアプリによって情報セキュリティ対策にも違いがありますので、その点も考慮する必要があります。

IPA (独立行政法人情報処理推進機構)がまとめた中小企業の情報セキュリティ対策ガイドラインでは、以下の観点で検討して情報セキュリティ対策の実施に繋げることを提案しています。

①付帯するセキュリティ対策を確認する

クラウドサービス提供会社から、サービスに付帯するセキュリティ対策が具体的に公開されているかを確認し、セキュリティ対策を確認します。
例えば、
・通信の暗号化
・ファイアウォールや侵入検知
・ウイルス対策
・セキュリティパッチの適用
などです。

②利用者サポートの体制を確認する

クラウドアプリの使い方がわからないときの支援(ヘルプデスクやFAQ)は供されているかを確認します。
例えば、
・サポートの受付時間
・連絡方法(メール、電話、チャット、オンラインなど)
・料金
などです。

③利用者終了時のデータを確保する

サービスの利用が終了したときのデータの取扱い条件について確認します。
例えば、
・過年度データを含む全データを返却または社内のパソコンなどにダウンロードできるか
・データのフォーマットは他のサービスと互換性があるか
・移行先のサービスは返却されたデータを一括して取り込む機能があるか
・返却後にシステム上に残るデータは完全に消去または再利用されないことが保証されているか
などです。

④適用法令や契約条件を確認する

個人情報保護など関連法規制の遵守などを規定した利用規約等について確認します。
例えば、
・利用者が入力したデータにサービス事業者がアクセスする場合の条件や責任について明記があるか
・設備の保守等を再委託している場合の再委託先の管理監督責任について明記があるか
・利用者が入力した個人情報に関して個人情報保護法に準拠することが明記があるか
などです。

⑤データ保存先の地理的所在地を確認する

データがどの国や地域に設置されたサーバーに保存されているか確認します。
例えば、
・データセンターの所在国・地域と現地の個人情報保護に係わる法律・規制を確認する
などです。

利用者側の情報セキュリティ対策

クラウドアプリを使うためには、インターネットに接続できる環境が必要になります。そのため、インターネットを利用する際の情報セキュリティ対策、例えば、ファイアウォールの設置、利用PCへのウィルスソフト導入、不審なメールの添付ファイルを開かないなどの情報セキュリティルールの厳守などを行う必要があります。

また、その他にも、クラウドアプリならではの対策を行う必要があります。

対策１：利用ユーザーの管理

クラウドアプリを利用できるユーザーの管理を行います。

管理する内容は、
・誰がログインできるのか
・誰にどの機能の権限を与えるのか
です。

従業員の異動や退職があった場合に使わなくなったユーザーアカウントは即座に削除する必要があります。使わなくなったユーザーアカウントが不正に使われるのを防ぐためや、ユーザー数により料金が変わる場合は余計ない費用を使わないためです。

また、クラウドアプリで機密情報を管理している場合もありますので、ユーザーによってきちんと権限を分ける必要があります。

対策２：パスワード設定

クラウドアプリは、インターネットに接続できる環境であればどこからでも使用することができます。とても便利ではありますが、パスワードを盗まれてしまうと、どこからでも攻撃されてしまうことになります。

パスワードは、「長く」「複雑な」なものを設定することが推奨されています。また、パスワードの使い回しは流出の原因になりますので控える必要があります。

対策３：利用する際のルールの作成と徹底

操作によってはセキュリティ事故を引き起こしてしまうものもあります。例えば、オンラインストレージを利用する場合に、機密ファイルを誰でも閲覧できるような共有設定にしてしまうと情報漏洩の原因になります。

管理者はルールを作成し利用者にルールを徹底させるようにしなければなりません。利用者はルールを厳守しなければなりません。

弊社の情報セキュリティ対策支援について

弊社は、中小企業向けのデジタル化支援を行っています。デジタル化で経営課題をどのように解決していくかの計画立案、アプリ・ソフトウェアの導入支援、システムの運用改善の支援、等の企業のデジタル化、IT化を推進する幅広い支援を行っています。

デジタル化を進めればその分情報セキュリティ事故の可能性も増加します。デジタル化と情報セキュリティ対策は表裏一体であり、弊社は企業のデジタル化と共に情報セキュリティ対策の支援も行います。

お気軽にお問い合わせください。