「クラウドサービスを利用するためのリスク評価とコントロール」について解説する連載初回は、クラウドサービスのセキュリティチェックにまつわる問題を情報システム部門の視点で解説しました。2回目の本稿では、クラウドサービスの導入部門であるユーザー部門に焦点を当てていきます。
前回の記事では、クラウドサービスのセキュリティチェックにまつわる問題を、チェック者である情報システム部門の視点でお伝えをしました。2回目の本稿では、クラウドサービスを導入するユーザー部門が抱える問題を解説します。
近年、クラウドサービスの導入部門が情報システム部門からユーザー部門に移りつつあります。従来はパッケージ・クラウドサービスにかかわらず、システムを入れる際は情報システム部門に相談し、予算も情報システム部門で負担するのが一般的でした。しかし、爆発的なクラウドサービスの導入ニーズの増加に伴い、サービスの選定や購買、セキュリティチェックなど、予算も含めてユーザー部門が主導権を持つようになってきています。こういった導入部門の変化が、実はセキュリティチェックシートに関するさまざまな問題を引き起こす要因の一つになっています。
新卒でワークスアプリケーションズに入社し、ERPの営業や統合ID管理システムの導入・保守に携わる。その後、リクルートにて法人営業・コンサルタントを経て、新規事業開発へ異動。HR系SaaSの企画・営業担当として、サービスの成長に寄与した。パーソルグループのCVCにてベンチャーキャピタリストとして従事した後、Conoris Technologies(旧ミツカル)を2020年6月に創業しベンダーリスクマネジメントSaaS「Conoris」を提供している。
セキュリティチェックは一般的に下図のようなプロセスで実施されます。ユーザー部門はチェックの起点となりつつ、クラウドサービス事業者と情報システム部門の間にも立ちます。
一般的に、ユーザー部門はクラウドサービス事業者や情報システム部門と比較してセキュリティやクラウドサービスの知識が不足しています。それにもかかわらず、クラウドサービス事業者や情報システム部門の間にいることが、3者のコミュニケーションが円滑に進まない原因となることがあります。
クラウドサービスのリスク評価は、クラウドサービス側のセキュリティ対策や運用管理体制のリスクが注目されがちです。しかし、ユーザー部門がどのような目的でどのようにサービスを利用するのかということは、クラウドサービスの実態の把握と同じくらい大切です。
昨今クラウドサービスに関連したセキュリティインシデントが世間を騒がせていますが、サービス提供者が直接の原因になるものは多くはありません。Gartner(米ガートナー)は「Is the Cloud Secure?」で「2025年までに、クラウド関連のセキュリティインシデントの99%はユーザー企業側が原因になる」と予測しています。
ここからは、現場でサービス導入をするユーザー部門の抱えるもののうち、クラウドサービス利用上のリスクにつながる3つの問題を解説します。
IT企業やITに関連する部門を除いた従業員にとって、セキュリティチェックシートのユーザー部門が記入する欄やクラウドサービス事業者の入力内容を正しく理解するのは難易度が高いと言えます。その結果、サービス事業者が入力したシートを情報システム部門にそのまま提出し、セキュリティリスクを認識しないまま導入の意思決定をする状態が起きています。
ユーザー部門が記入する欄も、ITの知識が少ない人が埋めるには難しい項目が並びます。記入に膨大な時間がかかり、従業員の生産性を下げたり、時にはユーザー側が導入を断念したりしてしまうこともあります。
そして情報システム部門としては「それくらいの気持ちや重要度なのであれば導入しないでほしい」と思うことになります。情報システム部門が正しい一面もあるのですが、従業員が自らの生産性向上や新たな売上アップの可能性について、気軽に試せないというのは機会損失につながるでしょう。
また、一般的なセキュリティチェックシートには保管するデータの種類を問う質問が含まれますが、個人情報と機密情報の線引きを正確に理解できている従業員ばかりではありません。私は仕事柄、企業のセキュリティや情報の取り扱いに関する勉強会で講師をすることがあります。サンプルデータが個人情報に該当するか否かのクイズを出題した場合、個人情報保護法の順守が求められる一方で、正答率は50%前後といったところでした。社員番号が個人情報に該当することや、個人情報と特定個人情報(マイナンバーなど法律で厳格に管理が求められるもの)の違いを知らない人は多く、頻繁に間違えられます。
情報システム部門は、白黒をはっきりさせるのが難しいセキュリティの世界で頭を悩ませながら、一件ずつセキュリティチェックシートに対応しています。しかし、セキュリティチェックは形だけだろうと思っている一般従業員は多いです。多くの企業がセキュリティ意識向上のための研修などを実施していますがなかなか効果を得られていません。
セキュリティ意識の問題に付随して、クラウドサービス導入時の購買プロセスの問題も耳にするようになりました。現状、クラウドサービスの稟議(りんぎ)購買フローにおいて、セキュリティチェックを通過しているかどうかを厳密にチェックするのが難しい企業は多く、承認者が申請者に確認しないと徹底できないケースがあります。特に、月額数千円程度で気軽に利用できるクラウドサービスの場合、従業員が立替精算で購入し、経費精算を上長が承認してしまうと利用・支払いできてしまうため、ユーザー部門のルールの認識と徹底する意識がないとシャドーITが生まれてしまいます。
無料サービスを従業員が自由に利用している場合もそうですが、こういったシャドーIT防止のため、CASB(Cloud Access Security Broker)などのセキュリティプロダクトを活用するにしても運用上限度があります。従業員一人一人の意識を高めることが最重要であることは当面変わらないでしょう。
大企業は異動や退職などによる従業員の入れ替わりが一定発生する傾向があります。連載初回でも触れた通り、導入担当者が異動することで管理ルールが守られない事態が散見されます。
私自身も前任者の異動や退職をきっかけに、何度か部門で利用しているシステムの管理者になったことがありました。その際、導入時のセキュリティチェックシートを共有されなければ、アカウント管理ルールや管理可能な情報といった基本事項もきちんと引き継がれたことはなかったように思います。
管理者が引継ぎされていれば“まし”な方で、いつのまにか使われなくなったシステムの請求書が届くまで、サービスの契約が残っていることに気が付かないといったことも起こります。
規模が小さい会社であれば、SaaS統制サービスが登場していることもあり、利用中のクラウドサービスを一元管理することで対策可能ですが、大企業では現実的ではありません。ユーザー部門の管理ルール設計と運用による担保は必須ですが、情報システム部門の手が回らないこともあり、なかなかやり切れていないのが実情です。
中長期的には、従業員一人一人のセキュリティ知識と意識を地道に上げていくほかありません。しかし情報システム部門には、従業員の知識と意識レベルに差がある状態でも継続可能な分かりやすい運用体制を設計することが求められます。
現場部門で受け入れられやすく、学習機会にもなる運用設計をすることは、従業員にとってもメリットがあります。実際、導入部門が初めてセキュリティチェックシートを提出したことで、クラウドサービスのセキュリティチェックで押さえるべき点を学習し、自身のスキルやキャリアの幅を広げることにつながった人もいます。
次回は今まで述べてきた立場による問題点を踏まえながら、現状のクラウドサービスリスク評価の手法とそれぞれのメリット・デメリットについてご紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。