CSは覚えよう。「御社のサービスのセキュリティは大丈夫ですか？」と言われたときに、一次回答をイイ感じに回答する方法

私はだれ？

不動産会社向けのクラウドサービス（SaaS）を提供している会社、イタンジ株式会社という会社で、CS（カスタマーサポート/カスタマーサクセス）をやっています。基本的には導入後のお客様対応が主ですが、プリセールス的なことも行っています。

僕はノマドクラウドというサービスの担当で、ノマドクラウドは不動産会社向けの顧客管理＆営業支援のシステムになります。

毎月1本noteの今回のお題は「セキュリティ」についてです。

いきなりですが、お客様から

「御社のサービスのセキュリティは大丈夫ですか？」

と質問された経験はありませんか？

この質問、答えづらいんですよねぇ・・・

具体的な質問であれば答えやすいのですが、「セキュリティはどうなの？」ってかなりザックリ質問されます。

そこで今回は、

（１）そもそもセキュリティって何なの？何を指すの？

（２）情報セキュリティのCIA

（２）自社のサービスのセキュリティ対策をイイ感じに説明する方法

を紹介します。

情報セキュリティのCIAが頭に入っていれば、その場での一次回答がイイ感じに回答でき、心象アップに繫がります。

情報セキュリティは何を指すのか？

システムのセキュリティ（情報セキュリティ）って何でしょうか？

パッと思いつくものだと、「パスワード」ですよね。
システムを使っていない方は「ログインできない」
これももちろんセキュリティです。

ただ、セキュリティには、もっと広い意味があります。

OECD（Organisation for Economic Cooperation and Development：経済協力開発機構）という国際的な組織があり、その団体が「OECD 情報システム及びネットワークのセキュリティのためのガイドライン」というものを出しています。

情報処理推進機構：情報セキュリティ：事業概要：OECD 情報セキュリティガイドライン見直しに関する調査

また、本ガイドラインの中で、情報セキュリティの基本概念として以下３つを挙げています。
・機密性：Confidentiality（コンフィデンシャリティ）
・完全性：Integrity（インテグリティ）
・可用性：Availability（アベイラビリティ）

そして、情報セキュリティの目的に関して、以下のように定義しています。

情報システムセキュリティの目的は、情報システムに依存する者を、可用性、機密性、完全性の欠如に起因する危害から保護することである。

これが「情報セキュリティ」です。システムへの不正がログインを防ぐだけが情報セキュリティではありません。

OECDのセキュリティガイドラインが更新されてから暫く経っていますが、クラウドが普及がした今でも、十分に説得力があると思っています。

セキュリティのCIAを覚えよう

前項で、情報セキュリティの3大基本理念を説明しました。
おさらいになりますが、以下３つですね。
・機密性：Confidentiality
・完全性：Integrity
・可用性：Availability

また、これらの頭文字をとって「セキュリティのCIA」と呼んだりします。で、とても簡単にこの３つの意味を説明すると、以下のようになります。

この３つがシステムできちんとしていれば、安全に、そして、安心して使って頂けそうですね。

では、この３つの理念が具体的に何を意味するのか、説明していきます。

機密性とは、

データ及び情報が、権限ある者が、権限ある時に、権限ある方式に従った場合のみ開示されること。
https://www.ipa.go.jp/security/fy14/reports/oecd/oecd-security.pdf 6Pより

です。少し難しく書いてありますね。

もう少し簡単に言うと、情報システムにアクセス許可のある人だけが情報システムを利用することができ、許可の無い者は情報の使用、閲覧をできない状態にすることです。

情報システムでのセキュリティ対策の例を挙げると、
・人や端末の認証
・アカウントのロック（X回間違えたら、X分ログインできない）
・権限分離（顧客側または自社システム内での権限分離）
・アクセス制御（特定の場所からしかアクセスできない）
・通信暗号化（HTTPS）
などがあるかと思います。

ID・パスワードの認証は、人の認証に該当しますね。

次に完全性ですね。完全性とは、

データ及び情報が正確（accurate）で完全（complete）であり、かつ正確さ（accuracy）、完全さ（completeness）が維持されること
https://www.ipa.go.jp/security/fy14/reports/oecd/oecd-security.pdf 6Pより

です。

データの改ざんやデータの破損などが無いように、完全なデータを保管することもセキュリティです。

情報システムでのセキュリティ対策の例を挙げると、
・データのバックアップ
・履歴管理（ファイルのバージョン管理）
・ブロックチェーン
・電子署名
・タイムスタンプ
などのキーワードが関係するかと思います。

最後に可用性です。可用性とは、

データ、情報、情報システムが、適時に、必要な様式に従い、アクセス
でき、利用できること。
https://www.ipa.go.jp/security/fy14/reports/oecd/oecd-security.pdf 6Pより

です。

つまり、いつでも必要な時に情報やシステムにアクセスできることもセキュリティです。システムのSLAを高く保つこともセキュリティ要件。
（耳が痛い....😭）

情報システムでのセキュリティ対策の例を挙げると、
・システムのクラウド化
・冗長構成（複数サーバーでサービス提供する）
・システムの分散構成（日本東西、日本とオーストラリアなどで分散）
などがあるかと思います。

クラウドで動いていることは、当たり前のように思えますが、システムを自社のデータセンターで動かしている企業様もまだまだ多くいらっしゃいます。システムをクラウド化するだけで、可用性も上がるため、クラウドで動いていることも説明した方が良いでしょう。

自社サービスのCIAを確認して、回答できるように準備しよう

ここまでで、セキュリティのCIAを学んできました。

次にやることは、自社のサービスのCIAを確認することです。

おそらく、たくさんのセキュリティ対策を実施されていると思いますが、全てを覚える必要はないと思っています。

今回の目的は、いきなり「御社のセキュリティは？」と質問されたときに、イイ感じに答えられるようにするためです。さらに質問があったら「後日回答します」や「チェックシートがあれば、記入致します」と伝えれば良いでしょう。

なんとなく自社サービスのセキュリティのCIAが頭に入っていれば、CIAを順に説明すれば、こんな感じで回答できるはずです。

−−−−−−−−−−−-------------
まず、ログイン時のID・パスワード認証に加えて、貴社内のネットワークからしかアクセスできないようにすることもできます。【機密性】

次にお客様からお預かりしているデータに関しては、毎日バックアップを取得していて、何か問題があっても、データを戻すことができます。【完全性】

また、システムはクラウド化（AWS）で動いており、また、日本の東西でシステムを分散させているため、一部の地域で罹災した場合でもシステムが止まることはありません。【可用性】

−−−−−−−−−−−-------------

いかがでしょうか？

完璧か？と言われれば、まだまだだと思いますが、一次回答としては十分！

セキュリティのCIAを覚えて、自社サービスのセキュリティを説明をできるようになりましょう！