安心して活用するため事前に見極めたい。
お役立ち
最近ではクラウドサービスへの不安が払拭され、企業によるクラウド活用が急速に進んでいます。しかしセキュリティレベルはサービスによって異なります。安心して使えるサービスを見極めるには、どうしたらいいのでしょうか。
独力では難しいクラウドサービスの安全性評価
「SaaS等のクラウドサービスはセキュリティ面で不安なのでオンプレミスでシステムを構築すべき」。以前は方針を持つ企業が大多数を占めていましたが、最近ではこのような意見を聞くことは少なくなりました。企業の情報漏えい事件の多くは一般企業のオンプレミスシステムで発生しており、クラウドサービスからの情報漏えいはむしろ少なく、その安全性が経験的に認められたのだと言えるでしょう。その背景には、クラウドサービス事業者による、セキュリティに対する積極的な投資が存在します。よりセキュアで可用性の高いサービスを提供するため、様々な取り組みが行われているのです。
とは言え、全てのクラウドサービスの安全性が高いというわけではありません。当然ながらサービスによって、安全性のレベルには大きな差異があります。クラウドサービスを安全に利用するには、「パスワードを使い回さない」等の利用者側のリテラシーも重要ですが、十分に高いセキュリティレベルをクリアしているサービスか否かを、導入前に評価することも欠かせません。
提供されているクラウドサービスが十分にセキュアか否かを判断するには、物理的なデータセンターの立地や耐震性、入退室管理の状況、マルウェアや不正アクセスへの対策、日常的な監視体制や問題発生時の対応等、多岐にわたる側面を調査する必要があります。クラウドサービス事業者の中にはこのような要求に応えるため、積極的にセキュリティに関する情報開示を行っているところも存在します。
しかし一般企業の導入担当者が独力で、これら全てを適切に評価することは簡単ではありません。そこで評価基準として活用したいのが、第三者機関による認証です。
第三者機関による主要なセキュリティ認証
実はクラウドサービスに関する第三者機関による認証は、すでに数多く存在します。それらの中でも最初にチェックすべきなのが「ISO 27001」だと言えるでしょう。これは英国の情報セキュリティ認証規格である「BS7799-2」の要求仕様を元に、2005年に国際標準化機構(ISO)が策定した、ISMS(情報セキュリティマネジメントシステム)の国際標準規格です。
ISMSとは、組織が保有する情報の「機密性」「完全性」「可用性」を継続的に確保・維持し、情報資産の喪失や流出、不正アクセス等を防止するシステムのことであり、ISO 27001ではそれを適切に構築・運用するための要求事項が定められています。ISO 27001の基準を満たしているか否かの審査は、厳正な認証を受けた独立機関が担当し、3年毎に再審査・認証の更新を行う必要があります。この認証を受けているサービスは、国際規格として定められたISMSを確立・実践していると評価できるのです。なお日本でも同様の規格が「JIS Q 27001」として定められています。
米国を中心に提供されているクラウドサービスの場合には、「AICPA Service Organization Control(SOC)報告書」が存在するか否かも、信頼性を評価する重要な指標になります。SOC報告書とは、特定の業務を外部から受託する受託企業の内部統制について、監査法人や公認会計士が「独立した第三者の立場から」客観的に検証したレポートです。AICPAは米国公認会計士協会のことであり、AICPA SOC報告書が定期的に更新されているクラウドサービスは、適切な内部統制が確立されていると判断できます。
プライバシーが適切に保護されているかどうかについては、「TRUSTeプログラム」の認証を受けているか否かが重要な判断材料になります。これは1997年に米国で生まれた、個人情報保護に関する第三者による認証プログラムであり、その認証を行うTRUSTeという組織(NPO)は、世界で最も厳格なプライバシー保護認定機関として知られています。TRUSTeの認証の有効期限は1年間であり、毎年更新手続きが必要です。これに加え3ヶ月に1回「サイトレビュー」というチェックが行われ、「シーディング」という抜き打ち検査や、「ウォッチドッグ」という消費者からの苦情受付窓口も用意されています。プライバシー保護に関する認証プログラムとしては、日本では「プライバシーマーク(Pマーク)」が広く知られていますが、認証取得後の監視体制を見ると、TRUSTeの方がより厳しいプログラムだと言えます。
複数のセキュリティ認証を取得しているOneLogin
サイバネットが提供するSaaS型のシングルサインオン(SSO)サービス「OneLogin」は、これらの認証を全て取得しており、AICPA SOC報告書も年に2回の頻度で発行しています(AICPA SOC報告書の開示はサービス契約者を対象にしています)。またこの他にも、米国非営利法人であるクラウドセキュリティアライアンス(CSA)のセキュリティ認証や、さらに厳しい要件を満たす必要がある「Skyhigh Enterprise-Ready」も取得しています。
またOneLoginのインフラは、主要な構成要素を冗長構成にしており、極めて高い可用性を実現しています。サービスのアップタイムは99.99%以上を維持しており、サービス契約者はいつでもリアルタイムでサービス提供状況を確認できます。
SSOサービスはユーザー認証を集中化するものであり、これがダウンすれば全てのサービスへのログインができなくなる可能性があります。しかしOneLoginであれば、世界基準の厳しいセキュリティ要件を満たしており、十分な可用性も確保されているため、安心して利用することが可能なのです。