AWSやAzure活用時のセキュリティチェックポイント：セキュリティ強化塾（3/3 ページ）

[キーマンズネット]

IaaS業者による情報漏えいの不安をクリアにする各種国際基準

　次に、IaaS業者自体が信頼できるのかという点も考えよう。IaaSをはじめとするクラウドにおいては以下のような国際基準が存在する。

• ISO 27001：情報セキュリティマネジメントシステムの国際基準
• ISO/IEC 27018：クラウド内の個人情報保護に関する国際基準
• EU Model Clauses：EU内の企業がEU以外の国に情報を移転する際の標準契約条項モデル
• HIPAA BAA：米国における医療保険の相互運用性と説明責任に関する法令の提携事業者契約
• FISMA：連邦情報セキュリティマネジメント法

　この中でも特に注目されているのが、クラウド内のプライバシーについて記した「ISO/IEC 27018」だ。IaaS事業者がこの国際基準に準拠することで、個人情報保護を行うべき利用者が必要とする「プライバシーフレームワーク」を実施していることが第三者機関による認証によって確認できる。大手IaaSでは、マイクロソフトやアマゾン、グーグルなどがこの認証を既に取得している。

　これらの認証を取得するということは、「IaaS事業者に預けられた個人情報は利用者のものであり、IaaS事業者が利用者の同意なく利用することも第三者への開示もしない」ということの宣言と同義になる。また、データがどこに保存されているのかについても可視化されるため、クラウド利用に対しての透明性が確保できる。

　その他にも医療分野、金融分野などで、それぞれの基準が設けられ、適用が必要となる場合もある。IaaS利用に関しては、事業者がどの国際基準をクリアしているのかをチェックする必要があるだろう。

データの社外保管リスクは「データセンターの指定」と「暗号化」でクリア

　クラウド利用にまつわる不安の要因の1つに、情報が「国外」に置かれる可能性が挙げられる。多くのIaaS事業者は世界中にデータセンターを持っており、それらを活用することで可用性の高い仕組みを実現している。

　利用者は、データがどこに保存されているのかを把握することをIaaS事業者に要求できるとはいえ、企業内ポリシーで「個人情報は国内に保管する」と規定しているような場合はこれだけでは足りないだろう。事業者が日本国内にデータセンターを持っていて、それを指定できるかという点が重要なポイントになる。ただし、このような場合においてもデータ保護は利用者側の責任である。データの暗号化を実施するなどして安全性を高める必要がある。

　もう1つ考慮したいのは、個人情報を社外に置くことに関する国際的な法整備についてだ。例えばEUでは、EU住民の個人情報をEUおよび特定の国以外に移動することを禁ずる「EUデータ保護指令」が存在する。海外の個人情報を取り扱う必要がある場合、あらかじめデータの配置などについて設計が必要となる場合もあるので注意したい。

クラウドでもオンプレでも「セキュリティ」の基本は変わらない

　クラウドサービスへアクセス可能なIDを適切に管理すること、アクセス経路を閉域網とすることなどの手法もセキュリティの確保のためには重要だ。しかしながら、これらは総じて「クラウド特有」の考え方というわけではない。オンプレミスと同様のセキュリティを考え、システムを「業務委託することが可能か」という観点が必要だ。その上でクラウドの利点である可用性、信頼性を活用し、自社のシステムを柔軟に構築できるという利点を生かすべきだろう。

　クラウド／IaaSの利用にはまだ心理的な障壁があるという企業であっても、責任共有モデルや国際基準を理解することで考えを改めるきっかけになるだろう。その障壁を経営層、情報システム部が乗り越えられれば新たな選択肢を得ることが可能だ。まずは入り口となる各種資料を参考に、安全なクラウドを作り、活用していただきたい。