クラウドって危ないの？

既存の情報管理が”足かせ”になる？

近年、様々なサービスがクラウド化されており、殆どの企業において何らかのクラウドサービスが利用されている状況です。一方、クラウドの利用について、会社としてのルールは明確でないということも少なくなく、なし崩し的に使用されている状況です。

では、なぜ会社はクラウドの利用ルールを明確にしないのでしょうか？

一番のネックになるのが情報管理です。多くの情報管理ルールでは、情報の重要性が定められ、その重要性に応じた管理水準が決められています。具体的には、顧客情報は最重要で自社システムで暗号化して保存しておく、社外秘情報は自社内のシステムに情報を保存するなど。

当たり前ですが、これらのルールはクラウドが存在する以前に作成されており、現在のビジネス環境には当てはまりません。むしろ、クラウド利用のブレーキとなるルールが殆んどです。

では、どのように情報管理を見直していけば良いのでしょうか？

情報管理ルール改定の着手

既にクラウドを利用している企業も多いのだから、何を躊躇することがあるのか？と思われるかもしれませんが、意外と大変なのです。

情報管理のルールをアップデートするためには、アップデート作業に着手することに対する社内合意が必要となりますが、意外と骨が折れます。その理由として、①そもそも重要な情報は自社サーバ内に保存するものであるという価値観を変えないといけない、②アップデートが上手くできない、又はアップデートが情報漏洩の原因となる懸念がある、といったことが挙げられます。（②の責任を負いたくないというケースもあります。）

しかしながら、日本政府でさえ、”クラウド・バイ・デフォルト”ということで、今後積極的にクラウド活用を進めることになっており、2020年から、ISMAPという制度もスタートすることを考えると、一定の条件を満たせばクラウドは利用して問題ないと理解されると予想します。

ルール化のポイント

以下に、情報管理ルールを改定する際に考慮すべきポイントのいくつかを紹介します。

＜責任範囲の明確化＞

クラウドから情報が漏洩するケースの中には、利用者側のセキュリティ対策が脆弱であったことが原因となっているものが含まれています。クラウドは原則として責任共有モデルであるため、クラウドベンダー側で責任を持つ領域、利用企業側で責任を持つ領域に大きく分けられます。SaaS→PaaS→IaaSの順で、利用企業側の責任範囲が多くなるのですが、意外と一括りに”クラウド”と定義されている事例もあります。

＜非機能要件の明確化＞

自社開発の場合、構築を担当するベンダーから非機能要件が提案され、そちらをベースに検討できたかもしれません。一方、クラウドの場合は、利用可否の判定時にセキュリティ機能を事前に評価しますが、既存のルールが曖昧であると、適切な評価ができません。こちらは、クラウド特有というより、現状のルールの問題かもしれませんが、業務の重要性、保存する情報の重要性に応じた非機能要件の明確化が必要です。

＜推奨クラウドの決定＞

現在、数え切れないほどのクラウドサービスが存在していますが、これら全てに詳細な管理ルールや設定を明確にすることは現実的ではないため、例えば重要業務や重要情報を管理するサービスに限定して”推奨クラウド”のみ利用を許可するというのも有効な管理となります。

最後に

今回は、クラウドを前提とした情報管理のアップデートについて概要をご紹介しました。既存のルールは、”情報保護”という社会的な要請もあり、過度に保守的となっているかもしれません。また、策定された当時は、ASP（アプリケーション・サービス・プロバイダー）も少なかったことから、保守的なルールであっても、ビジネス上の制約となるケースは少なかったのだと予想します。

クラウドの情報管理を検討する際に、クラウドか、オンプレか？という観点で議論がなされますが、重要なのは、保護すべき情報に対して、適切なセキュリティ対策が講じられているのか、という点です。

クラウドプロバイダーの中には、セキュリティ対策をレポートとして利用者に提示している企業もあります。一方、セキュリティ対策に関する情報を一切開示していない企業もあり、その状態で利用するということは、企業が情報管理の責任を全うしていないと見なされます。

しかしながら、最終的には個別判断となる事案も多いため、クラウドを積極的に利用する方針であれば、予めクラウド管理の枠組みを構築しておくことが期待されます。

※クラウドプロバイダーのレポートには、利用企業の会計監査のために発行しているレポートがあり、必ずしも情報漏洩対策が含まれているとは限らない点、補足しておきます。