PR
連載 :
  

技術者が見落としがちな クラウド事故を想定した7つのクラウド選定鉄則

2015年4月30日(木)
中村けん牛吉政 忠志

みなさんはビジネスとしてクラウドを導入する際、どのように選定を行っているでしょうか。技術者は技術を見極める目があるため、技術的な観点のみでクラウドを選ぶ傾向があります。しかし、技術的な観点だけで選定しても問題はないのでしょうか。

そこで今回は、技術的な観点以外として、気を付けたいクラウド事故を想定した選定基準を解説します。なお、本コラムではクラウド事故をシステムやネットワーク上の障害ではなく、情報漏えいを想定しています。

意外に多い情報漏えいのクラウド事故

情報漏えいのクラウド事故はその性質上、表面化しているものはほんの一握りだと思われます。実際にニュースなどで報じられるのは多くが大手のクラウド事故で、小規模なクラウドサービスプロバイダーの事故はなかなか目にすることがありません。

万が一情報漏えいが発生した場合、そのクラウド利用企業はかなりのダメージを受けます。情報漏えいには個人情報だけでなく、取引先の機密情報なども含まれ、一度でも情報が漏えいすれば企業の信頼はかなり落ちてしまいます。また信頼が落ちるだけではなく、莫大な損害賠償を請求されるケースも増えてきています。

個々の事故については「情報漏えい 損害賠償金額」や「クラウド 事故」で検索すればかなりの数を見つけることができるでしょう。ちなみに、日本ネットワークセキュリティ協会(JNSA)の調査データによると、2012年に日本国内で発生した個人情報漏えい事件1件あたりの平均想定損害賠償額は9,313万円にも上ります。また情報漏えいだけでなく、過去には大規模なデータ消失事故も発生しているので、その両面からチェックする必要があります。

クラウド利用企業に原因がないのに損害賠償をしなければいけないケース

ここでは、情報漏えい事故の原因がクラウドサービスプロバイダー側にあった場合について掘り下げていきます。

ほとんどの場合、クラウドサービスプロバイダーとクラウド利用者との契約約款で損害賠償の上限額が設定されています。例えば、「利用者がクラウドサービスプロバイダーに支払った過去3年間の総額を賠償する」などです。毎月の利用金額が10万円の場合、360万円が損害賠償の上限額になります。

この契約でクラウドサービスプロバイダー側の過失により情報漏えいが発生し、クラウド利用企業がそのユーザから1億円の損害賠償請求を受けたとします。その場合、クラウドサービスプロバイダー側の賠償上限額は契約上360万円となり、残りの9,640万円はクラウド利用企業が賠償しなければならないことになります。

実際には裁判などで争い、最終的に別の着地点に落ち着くこともありますが、基本的な契約スタンスは前述の通りです。ここで情報漏えいを未然に防ぎ、莫大な賠償請求を回避するために重要となるのは、「クラウド事故が起こりにくい設計になっているか」、また「万が一クラウド事故が起こった場合でも被害が大きくなりにくい設計をしているか」です。

クラウド事故を起こしにくいクラウドの選定基準

日本で多くの企業が使用している世界的なクラウドサービスでも、数時間にわたってIDやパスワードを入力しなくても全てのデータを閲覧できる状態にあったという事故が起こっています。このような事故は決して他人事ではありません。そこで、クラウド事故に遭遇しないためにチェックしておきたい項目を列挙します。

チェック項目
  1. 法人向けのサービスであること(無料のクラウドや法人向けでないものは、そもそもセキュリティが担保されていないことが多い)
  2. インフラが自社所有であること(自社で全て管理でき、責任を負える体制でクラウドが構築されていること。全て管理できるからこそ事故が起こりにくい)
  3. 日本工業規格 JIS Q 27001:2014「情報セキュリティマネジメントシステム(ISMS)」に準拠していること
  4. SSL等の暗号化技術を使用していること(データアップロードをする際のハッキング防止)
  5. マルチテナントでないこと(マルチテナントの場合1テナントがハッキングされれば全てのテナントがハッキングされる)
    ※マルチテナント:1台のサーバを複数のユーザが同時に利用しているようなケース
  6. サービスとしてウィルスチェックを提供していること
  7. 物理的なデータの保管場所が国内であること(保管場所が外国の場合、その国の法律で規制される)

「7」について少し補足します。これは米国の「パトリオット法(愛国者法)」などが該当します。パトリオット法はテロなどの国家安全に関わる事態が発生した場合に、クラウドサービスプロバイダーのサーバを差し押さえることができる法律です。海外の大手クラウドサービスプロバイダーには、システムが日本に存在する場合でも「海外の企業と契約するのだから、相手国の法律が適用される」と明言しているところもあり、この点は注意が必要です。「パトリオット法 クラウド」で検索するとわかりますが、米国のパトリオット法は過去に何度か施行されているので、今後も起こり得る話であると言えます。

さて、概要レベルのチェック7項目を紹介しました。内容は単純に見えますが、実は7項目全てを満たしているクラウドサービスはそれほど多くはありません。ぜひ、みなさんが現在利用している、また今後利用を検討しているクラウドサービスをチェックしてみてください。

また、クラウドサービスをチェックするためのガイドラインが経済産業省から公開されています。あくまでガイドラインなので、明確な基準は書かれていません。ただ、基本的な考え方について触れられているので、興味のある方や仕事で活用されたい方は参考にしてください。

経産省「クラウドセキュリティガイドライン改訂版」

公開日:2014年3月

概要:初版の公開以来、クラウドサービスの本格的な普及が進む一方、国内外のサービスで 大規模な障害や障害対応過程での情報漏えいの発生等、リスクが顕在化した事例が見受けられるようにもなりました。クラウドサービスを取り巻くこうした環境の変化を踏まえ、 所要の追加等を行いました。本ガイドラインに併せ、活用ガイドブックを利用することで、安心してクラウドサービスを利用できる環境の整備に貢献することを目指します。

ガイドラインは、以下のURLよりダウンロードできます。

http://www.meti.go.jp/press/2013/03/20140314004/20140314004.html

このガイドラインは、クラウドサービスプロバイダーを健全に運営するための指針と、ユーザがクラウドサービスプロバイダーを判断するための基準の両方を抑えたバイブルとして作成されています。ガイドラインの全てを採用するかどうかは自己責任となりますが、参考になる文面は多くあるはずです。

いかがでしょうか? 今やクラウドは一つの大きな市場になり、多くの事業者が参入してしのぎを削っています。事業者によっては利益を追求するあまりセキュリティ上重要なポイントに投資せずサービス提供をしているケースもあり、ユーザは注意が必要です。本コラムを参考に、しっかりとした目で良いクラウドサービスを選定していただければ幸いです。

プライム・ストラテジー株式会社 代表取締役
1971年栃木県生まれ。中学1年生で電波新聞社の『マイコンBASICマガジン』にプログラムを寄稿して以来、プログラミング歴30年。早稲田大学法学部を卒業後、野村證券に入社。公認会計士第二次試験合格。2002年にプライム・ストラテジー株式会社を設立、代表取締役に就任する。2005年にPT. Prime Strategy Indonesiaを設立して以来、アジアでのITビジネスに携わる。執筆監訳書籍に『WordPressの教科書』シリーズ(SBクリエイティブ)、『WordPressによるWebアプリケーション開発』(オライリージャパン)、『詳解 WordPress』(オライリージャパン)などがある。
吉政創成株式会社 代表取締役

IT業界のマーケティング分野で20年近い経験を持つマーケッター。株式会社トゥービーソフトジャパンをはじめとするベンチャー企業から大手企業まで幅広くマーケティング支援を行う。現在はマーケティングアウトソーシング会社である吉政創成株式会社の代表取締役を務めつつ、PHP技術者認定機構 理事長、Rails技術者認定試験運営委員会 委員長、ビジネスOSSコンソーシアム・ジャパン 理事長も兼任。

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています