見出し画像

ISO27001から考えるSaaSと情報セキュリティの関連性

ISOプロ/ISO・HACCPコンサルティング

そろそろ緊急事態宣言解除で久々に本屋巡りができそうなことに期待している読書家のやまぐち@ISOプロ編集部です。今回は情報セキュリティについて考えていきたいと思います。

インターネットを通してアプリケーションの提供を受けるSaaSは、情報セキュリティマネジメントシステム観点から見ても少し特異なケースを持つ例です。なぜならSaaSを提供する事業者は、自社の情報セキュリティマネジメントシステム(ISMS)の適用範囲から外れるものであるからです。

今回は、SaaSを利用する際に注意しておくべき情報セキュリティリスクについてISO27001の観点から考えていくことにしましょう。

SaaS利用と情報セキュリティリスク

そもそもですが、情報セキュリティリスクとは、何でしょうか? ISO27000では、リスクについて以下のような定義がされています。


   目的(3.49)に対する不確かさの影響
…………………………………………………………………………………………………………………………
                         JIS Q 27000
                                 ”

つまり、情報セキュリティを損ねる要因のことであり、このリスクが脆弱性と結びついた時に情報セキュリティインシデントが発生することになります。このリスクは、組織の状況や取引先の要求などを考慮した上で情報資産を特定し、リスクアセスメントによってリスクを分析し、評価することで対応方法を決定します。

リスク対応には以下の4種類の方法があります。

・リスクの低減
・リスクの保有
・リスクの回避
・リスクの移転

リスクの低減とは、そのまま情報セキュリティ上のリスクを取り除くあるいは低減することを意味します。もう少し具体的に言うと、脅威が発生する影響や、その頻度を低減することを意味します。暗号化通信を導入、2段階認証システムの導入などが具体的な管理作として上げられるでしょう。

リスクの保有とは、所謂リスク受容です。リスクアセスメントの結果、リスクの発生頻度が低かったり、リスクの影響範囲が狭かったりする場合に、そのリスクに対応するコストが見合わない場合も当然存在します。このような場合にはリスクを受容し、認識はするものの放置することも一つのリスク対応であるといえます。

リスク回避とは、脅威の発生源をなくしてしまうという対応方法のことです。例えば事業の撤退などが代表的なリスク回避の方法だと言えるでしょう。

そして、リスク移転とは、適用範囲内で他の組織にリスクを移転したり、保険などに加入することで、リスクによる損失を少なくしたりする対応方法です。SaaSの利用はある意味ではリスク移転であるといえるでしょう。


リスク移転をする場合の注意点

リスク移転とは言っても頭ごなしにリスクを移転すればセキュリティを保てるというわけではありません。なぜならリスクを移転する先でも可用性や機密性を維持できなければ、リスク移転そのものがリスクとなってしまう可能性もあるからです。

このため、リスク移転を行う場合には、以下のような項目について考慮した上でどこに移転すべきかを検討すると良いでしょう。

・事業者の信頼性
・サービスの信頼性
・セキュリティ対策の水準
・契約条件
・利用終了時のデータの確保

特にセキュリティ対策の水準については、以下のような項目について考慮しておきましょう。

・暗号化通信の利用
・アクセスログの管理が可能であること
・データバックアップの体制
・不正アクセス防止の対策方法
・OSや利用ソフトウェア、アプリケーションにおける脆弱性の判定と対策

これらは、どのような情報をSaaS利用で格納するのか、その重要性や機密性を十分に考慮した上で事業者やサービスを選定するようにしましょう。

特に脆弱性に関する情報などはインターネット上で公開されていることもありますので、過去の脆弱性の発覚やその対策が現バージョンでなされているかどうかをチェックしておくと良いでしょう。

機密性に関するリスク対策の例を説明してきましたが、可用性の観点で見てみると、SaaS利用で業務効率が良くなり、一つのリスク対策として有効になってくる場合もあります。

ISO27017の取得も検討する
クラウドサービスを利用する場合には、ISO27001のアドオン認証であるISO27017も有効です。また、サービス提供事業者によってはISO27018を取得していることもあるでしょう。こういった認証取得もサービス選定基準に設けておいたり、そうでない場合でもISO27017を取得したりすることで一定の水準のクラウドセキュリティは確保できるため、認証取得を目指しても良いかもしれません。

ISO27001の資料を無料配布しています

ISO27001取得しよう!と思ってもどこから手をつけて良いか分からないものです。ISOの概要からISO27001の取得までのステップやスケジュール、掛かる費用など初心者の方でもイメージを掴んでいただける資料をご用意してます。ご興味ある方は下記よりご請求ください!

画像2

まとめ

今回は、SaaS利用時の情報セキュリティマネジメントシステム観点からの考え方や利用時に注意しておくべき点について解説してきました。SaaSの利用は業務をスムースに推進するために重要ですので、しっかりとISMSと整合性を保って利用するようにしておきましょう。

サポート導入資料


この記事が気に入ったらサポートをしてみませんか?