技術者が見落としがちな クラウド事故を想定した7つのクラウド選定鉄則
みなさんはビジネスとしてクラウドを導入する際、どのように選定を行っているでしょうか。技術者は技術を見極める目があるため、技術的な観点のみでクラウドを選ぶ傾向があります。しかし、技術的な観点だけで選定しても問題はないのでしょうか。
そこで今回は、技術的な観点以外として、気を付けたいクラウド事故を想定した選定基準を解説します。なお、本コラムではクラウド事故をシステムやネットワーク上の障害ではなく、情報漏えいを想定しています。
意外に多い情報漏えいのクラウド事故
情報漏えいのクラウド事故はその性質上、表面化しているものはほんの一握りだと思われます。実際にニュースなどで報じられるのは多くが大手のクラウド事故で、小規模なクラウドサービスプロバイダーの事故はなかなか目にすることがありません。
万が一情報漏えいが発生した場合、そのクラウド利用企業はかなりのダメージを受けます。情報漏えいには個人情報だけでなく、取引先の機密情報なども含まれ、一度でも情報が漏えいすれば企業の信頼はかなり落ちてしまいます。また信頼が落ちるだけではなく、莫大な損害賠償を請求されるケースも増えてきています。
個々の事故については「情報漏えい 損害賠償金額」や「クラウド 事故」で検索すればかなりの数を見つけることができるでしょう。ちなみに、日本ネットワークセキュリティ協会(JNSA)の調査データによると、2012年に日本国内で発生した個人情報漏えい事件1件あたりの平均想定損害賠償額は9,313万円にも上ります。また情報漏えいだけでなく、過去には大規模なデータ消失事故も発生しているので、その両面からチェックする必要があります。
クラウド利用企業に原因がないのに損害賠償をしなければいけないケース
ここでは、情報漏えい事故の原因がクラウドサービスプロバイダー側にあった場合について掘り下げていきます。
ほとんどの場合、クラウドサービスプロバイダーとクラウド利用者との契約約款で損害賠償の上限額が設定されています。例えば、「利用者がクラウドサービスプロバイダーに支払った過去3年間の総額を賠償する」などです。毎月の利用金額が10万円の場合、360万円が損害賠償の上限額になります。
この契約でクラウドサービスプロバイダー側の過失により情報漏えいが発生し、クラウド利用企業がそのユーザから1億円の損害賠償請求を受けたとします。その場合、クラウドサービスプロバイダー側の賠償上限額は契約上360万円となり、残りの9,640万円はクラウド利用企業が賠償しなければならないことになります。
実際には裁判などで争い、最終的に別の着地点に落ち着くこともありますが、基本的な契約スタンスは前述の通りです。ここで情報漏えいを未然に防ぎ、莫大な賠償請求を回避するために重要となるのは、「クラウド事故が起こりにくい設計になっているか」、また「万が一クラウド事故が起こった場合でも被害が大きくなりにくい設計をしているか」です。
クラウド事故を起こしにくいクラウドの選定基準
日本で多くの企業が使用している世界的なクラウドサービスでも、数時間にわたってIDやパスワードを入力しなくても全てのデータを閲覧できる状態にあったという事故が起こっています。このような事故は決して他人事ではありません。そこで、クラウド事故に遭遇しないためにチェックしておきたい項目を列挙します。
- 法人向けのサービスであること(無料のクラウドや法人向けでないものは、そもそもセキュリティが担保されていないことが多い)
- インフラが自社所有であること(自社で全て管理でき、責任を負える体制でクラウドが構築されていること。全て管理できるからこそ事故が起こりにくい)
- 日本工業規格 JIS Q 27001:2014「情報セキュリティマネジメントシステム(ISMS)」に準拠していること
- SSL等の暗号化技術を使用していること(データアップロードをする際のハッキング防止)
- マルチテナントでないこと(マルチテナントの場合1テナントがハッキングされれば全てのテナントがハッキングされる)
※マルチテナント:1台のサーバを複数のユーザが同時に利用しているようなケース - サービスとしてウィルスチェックを提供していること
- 物理的なデータの保管場所が国内であること(保管場所が外国の場合、その国の法律で規制される)
「7」について少し補足します。これは米国の「パトリオット法(愛国者法)」などが該当します。パトリオット法はテロなどの国家安全に関わる事態が発生した場合に、クラウドサービスプロバイダーのサーバを差し押さえることができる法律です。海外の大手クラウドサービスプロバイダーには、システムが日本に存在する場合でも「海外の企業と契約するのだから、相手国の法律が適用される」と明言しているところもあり、この点は注意が必要です。「パトリオット法 クラウド」で検索するとわかりますが、米国のパトリオット法は過去に何度か施行されているので、今後も起こり得る話であると言えます。
さて、概要レベルのチェック7項目を紹介しました。内容は単純に見えますが、実は7項目全てを満たしているクラウドサービスはそれほど多くはありません。ぜひ、みなさんが現在利用している、また今後利用を検討しているクラウドサービスをチェックしてみてください。
また、クラウドサービスをチェックするためのガイドラインが経済産業省から公開されています。あくまでガイドラインなので、明確な基準は書かれていません。ただ、基本的な考え方について触れられているので、興味のある方や仕事で活用されたい方は参考にしてください。
公開日:2014年3月
概要:初版の公開以来、クラウドサービスの本格的な普及が進む一方、国内外のサービスで 大規模な障害や障害対応過程での情報漏えいの発生等、リスクが顕在化した事例が見受けられるようにもなりました。クラウドサービスを取り巻くこうした環境の変化を踏まえ、 所要の追加等を行いました。本ガイドラインに併せ、活用ガイドブックを利用することで、安心してクラウドサービスを利用できる環境の整備に貢献することを目指します。
ガイドラインは、以下のURLよりダウンロードできます。
http://www.meti.go.jp/press/2013/03/20140314004/20140314004.html
このガイドラインは、クラウドサービスプロバイダーを健全に運営するための指針と、ユーザがクラウドサービスプロバイダーを判断するための基準の両方を抑えたバイブルとして作成されています。ガイドラインの全てを採用するかどうかは自己責任となりますが、参考になる文面は多くあるはずです。
いかがでしょうか? 今やクラウドは一つの大きな市場になり、多くの事業者が参入してしのぎを削っています。事業者によっては利益を追求するあまりセキュリティ上重要なポイントに投資せずサービス提供をしているケースもあり、ユーザは注意が必要です。本コラムを参考に、しっかりとした目で良いクラウドサービスを選定していただければ幸いです。
Think ITメルマガ会員登録受付中
他にもこの記事が読まれています
全文検索エンジンによるおすすめ記事
- 個人情報保護法とセキュリティ対策
- セキュリティ要件を満たすオンラインストレージ「ownCloud」という現実解
- MTライセンス付/マルチドメイン対応の共用サーバーサービス「Infinito PLUS」が半額月額735円~で新登場
- 通信企業はIoTを使って一発逆転できるのか
- CNDT2021、Kubernetesのマルチテナントを実装したIIJのSREが語る運用の勘所
- サイバーセキュリティについての5つの予想
- クラウド環境とアイデンティティ/アクセス管理
- 診断の現場からの提言!Webサイトの脆弱性が潜む場所を知る
- コンテナは場所を選ばない!「オンプレ or クラウド × コンテナ」(前編)
- ハッキングの現実…もしくは新しいハッキングの現実?(2)