クラウドセキュリティガイドラインとは？セキュリティ対策構築のための知識

クラウドセキュリティガイドラインは、企業や組織がクラウドサービスを安全に利用するための重要な指針です。

この記事では、クラウドセキュリティガイドラインの概要と、クラウドサービスの選定ポイントを解説します。クラウド環境におけるセキュリティリスクへの理解を深め、最適なセキュリティ対策の構築に向けた考え方を習得しましょう。

経済産業省が2011年に公開したクラウドサービス提供における情報セキュリティ対策ガイドラインとは

クラウドセキュリティガイドラインの正式名称は「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」といい、2011年4月に経済産業省が企業や組織向けにクラウドサービス利用時に確保すべきセキュリティ対策やベストプラクティスを示した文書です。

このクラウドセキュリティガイドラインでは、クラウド環境における情報セキュリティの基準を定め、安全なクラウド利用のための指針を提供しています。

参考: 経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudsec2013fy.pdf

なぜクラウドセキュリティガイドラインが策定された?

クラウドサービスの提供が開始された当初、運用に関するルールが不透明であり、国内で多くのセキュリティに関する事件・事故が発生しました。

このような状況を改善するために、2011年4月に経済産業省が策定したものがクラウドセキュリティガイドラインです。

また、国内外でクラウドサービスの利用が進む流れを受け、2015年12月にはクラウドセキュリティガイドラインを基にした国際規格「ISO/IEC27017」が策定されました。

総務省からは「クラウドサービス利用・提供における適切な設定のためのガイドライン」も策定されている

2022年10月に総務省から策定されてたこちらの別のガイドラインではクラウドサービスの利用企業とクラウドサービスを提供する事業者双方に対し、クラウドの設定不備による情報漏洩や不正アクセスが起きないよう、認識すべきリスクや対策などを紹介するといった、より実践的に利用できる内容となっています。

こちらも併せて確認しておくのも良いでしょう。

参考：総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン（2022年10月）」https://www.soumu.go.jp/main_content/000843318.pdf

クラウドサービスを企業が選定する上で知っておきたいセキュリティのポイント

クラウドセキュリティガイドラインを参考に、企業や組織がクラウドサービスを選定する際に重視すべき点を確認しましょう。

クラウド事業者が以下のセキュリティポイントに十分対応しているか、評価することが大切です。

各セキュリティ認証を取得しているか

クラウドサービス事業者が、どんなセキュリティ認証を取得しているかをまず確認します。

たとえば、以下のような認証があります。

ISO/IEC 27001

• 情報セキュリティマネジメントシステム（ISMS）の国際規格
• セキュリティポリシーの適用、リスク管理の実施、対策計画の策定、意識向上の促進、監視と改善のプロセスの確立を証明する

ISO/IEC 27017

• 情報セキュリティマネジメントシステム（ISMS）に関連するクラウドサービスのセキュリティに焦点を当てた国際規格
• クラウドサービス事業者における適切なセキュリティ管理、データ保護、リスク管理の実施などを証明する

SOC2 (Service Organization Control 2)

• アメリカの公認会計士協会（AICPA）が策定したクラウドサービス事業者向けのセキュリティとプライバシーに関する規格
• セキュリティ、可用性、処理の整合性、プライバシーの制御などを対象に評価し、顧客に対してサービスの信頼性とセキュリティを証明する

この他、プライバシーマークやTRUSTeの認証マークなども、事業者が一定のプライバシー基準を満たしているかの証明となります。

クラウドサービス事業者が、情報セキュリティに対する取り組みが十分であり、信頼できるクラウドサービス事業者かを判断するようにしましょう。

サポート体制が充実しているか

クラウドサービス事業者のサポート体制は、業務を円滑に進めると同時に、突発的に発生する問題にも柔軟に対応できるかどうかに大きな影響を与えます。

以下は、サポート体制が充実しているかを確認するうえでのポイントです。

24時間365日のサポート

障害や緊急の問題が発生する可能性があるため、クラウドサービス事業者が24時間365日のサポートを提供しているか確認しましょう。

迅速な対応

問題解決までの対応時間が迅速であることが重要です。

効率的かつ迅速に問題に対処できるサポート体制があるかどうかを確認し、SLA（Service Level Agreement）を確認しましょう。

サポートの品質

サポートエンジニアの技術的な能力や対応の質も大切なポイントです。

技術的な問題に、適切に対処できる質の高いサポートが提供されるかどうかを確認しましょう。

サポート手段

サポートへのアクセス手段が、複数用意されているか確認します。

電話、チャット、メールなど、利用者が使いやすい手段が提供されているか考慮します。

トレーニングやドキュメンテーション

利用者が自己解決できるようにするために、トレーニングリソースや十分な技術資料が提供されているか確認します。

セキュリティソリューションとの連携が可能か

各企業では独自のセキュリティポリシーに基づいて、情報セキュリティ対策を構築していることがほとんどでしょう。

クラウドサービスを導入する際には、既存のセキュリティソリューションと連携できるかどうかが、極めて重要となります。

以下の点を評価しましょう。

統合性の確認

導入済みのセキュリティソリューションや製品と、これから導入しようとしているクラウドサービスとの統合や連携が、スムーズに行えるかどうかを確認します。

製品レベルでの統合性が高いほど、セキュリティ対策の一貫性や即時性が確保されるでしょう。

セキュリティイベントの連携

クラウドサービスと既存のセキュリティ製品が適切に連携し、セキュリティイベントを統合的に管理できるか確認します。

セキュリティインシデントが発生した場合、効果的に対応することが可能になります。

企業はこれらのポイントを検討し、クラウドを選定する際には、信頼性とセキュリティを最優先でチェックすることが大切といえるでしょう。

クラウドセキュリティ対策が不安であればNECネッツエスアイにお任せ。アウトソーシングという選択肢

NECネッツエスアイは、20年以上に渡る豊富な経験と実績に基づき、お客様に最適なクラウドセキュリティをはじめとした最新のサイバーセキュリティ対策を提供し、導入から運用まで一貫してサポートすることが可能です。

まずはお気軽なご相談からでも問題ございません。ぜひ一度お問い合わせください。