IT & Information security Journal
SaaS導入・運用の実務と法律上の注意点 第3回
近年、業務におけるクラウドサービスの利用が進んでいる一方で、クラウドサービスに関わるセキュリティインシデントが後を絶ちません。2023年6月には社労士向けのクラウドサービス「社労夢」を提供する株式会社エムケイシステムがランサムウェア被害に遭ったことにより、サービス停止を余儀なくされ、また、2024年3月にはワークスタイルテック株式会社が提供する労務管理クラウドサービス「WelcomeHR」について、同社のクラウドストレージに対するアクセス権限の誤設定により約15万人分の個人データが漏えいしたことが報じられました。
クラウドサービスをセキュリティ上安全に利用するためには、どのような考えを念頭におくべきなのか。本記事では、信頼できるクラウドサービスの選定方法や、利用に際する設定上の注意点等について解説します。
大井 哲也
TMI総合法律事務所 弁護士
中山 翔太
TMI総合法律事務所 弁護士
那須 翔
金融庁 総合政策局 リスク分析総括課 フィンテック参事官室 イノベーション推進室 課長補佐・総合政策課付
この記事のポイント
クラウドサービスは多数のユーザーにサービスを提供するという特性から、サービス提供者が独自の仕様や規定を定めており、ユーザー企業としてはそれを受け入れるか、受け入れずにサービスそのものを利用しないという選択肢しか取り得ないケースが少なくない
クラウドサービスのセキュリティレベルは、クラウドサービス提供者のセキュリティレベルとユーザー企業のセキュリティレベルの双方に依存する。前者については、信頼できるクラウドサービス提供者を選ぶこと、後者については、選んだサービスをよく理解し、適切な設定を行うことが重要である
信頼できるクラウドサービスを選定するうえでは、ISMAPをはじめとした認証の取得状況や、総務省がまとめている「クラウドサービス提供における情報セキュリティ対策ガイドライン (第3版)」のベストプラクティスなどが参考となる
国内におけるサイバーセキュリティへの関心が日増しに高まっています。企業においては会社法上、取締役が内部統制システムを構築することが求められますが、最近では、サイバーセキュリティ体制の構築がここに含まれるとの認識が一般化しつつあります 1。
また、政府は、サイバーセキュリティ基本法の下で法令や監督体制の整備を進めており、個人情報保護法はもちろん、金融機関・Fintech事業者、電気通信事業者、病院・診療所、地方自治体といった規制業種の監督においても、サイバーセキュリティが重要な項目となりつつあります。国民生活・経済活動の基盤となっているサービス(基幹インフラ)については、2024年5月から、経済安全保障推進法に基づき、システムの導入や管理の委託の際に、事業所管官庁に届出を行い、審査を受けなければならない制度の運用が開始されています(基幹インフラ事前審査制度 2)。また、現在、政府は、サイバー安全保障法制の整備を進めており、クロスボーダー通信の分析(インテリジェンス)や、基幹インフラやクラウドサービスの提供者について、セキュリティ管理体制の構築とインシデント報告を正面から義務付けることも検討されています 3。このように、サイバーセキュリティへの取組みは必須であるという認識は日々浸透が進んでおり、各所で対策がとられています。
他方で、企業のシステムにおいてはクラウドサービスが果たす役割の重要性が増してきていますが、クラウドサービスは多数のユーザーにサービスを提供するという特性から、クラウドサービス提供者が独自に仕様や規約を定めており、ユーザー企業としてはそれを受け入れるか、受け入れずにサービスそのものを利用しないという選択肢しか取り得ないケースが少なくありません。しかし、そのような場合でも、ユーザー企業がセキュリティに関する義務を免れるわけではなく、十分な検討を行わないまま利用を開始してしまうと、ユーザー企業自らの法令上の義務違反や契約上の債務不履行につながるリスクがあります。
このような状況で重要となる考え方が、クラウドサービス提供者とユーザー企業の役割分担(責任共有モデルと呼ばれることがあります)を認識したうえで、信頼できるクラウドサービスを選定し、適切な設定を行うというものです。
すなわち、クラウドサービスのサイバーセキュリティのレベルは、クラウドサービス提供者のセキュリティレベルとユーザー企業のセキュリティレベルの双方に依存します。前者について、先述のようにクラウドサービス提供者による独自の仕様や規約を受け入れられるかどうかでしか判断できない場合は、信頼できるクラウドサービス提供者を選ぶことが重要になります。一方、後者については、選んだサービスをよく理解し、適切な設定を行うことが重要です。
たとえば、内閣サイバーセキュリティセンター(NISC)による「クラウドを利用したシステム運用に関するガイダンス」4 では、クラウドサービスを活用するうえでの注意点について、以下のとおり要約されています。
クラウドサービスの選定
設定不備や脆弱性に係る診断
運用体制の確保
仕様変更に対する十分な対応
サービス利用約款の把握
信頼できるクラウドサービスを選定するうえで、最も簡易な方法は、「ISMAPクラウドサービスリスト」5 に搭載されていることを確認することです。ISMAP(Information system Security Management and Assessment Program)は、政府機関が使用するクラウドサービスの候補となるものを、NISCが事前に一元的に審査する制度 6 で、掲載されているクラウドサービスが備えるセキュリティ水準は、ひとまず信頼できるものと考えられます。
その他、クラウドサービスのセキュリティ水準を判断するうえで参考となる認証等としては、以下などがあげられます。
| セキュリティ認証・基準 | 対象地域 |
|---|---|
| SOC2(SOC2+) | 全世界 |
| FedRAMP | 米国 |
| StarAudit Certification | 全世界 |
| CSA STAR認証 | 全世界 |
| CSマーク | 日本 |
一方、ISMAPをはじめとした認証を取得していないようなクラウドサービスである場合は、クラウドサービス提供者からの情報提供、たとえばセキュリティホワイトペーパー等のクラウドサービス提供者が公開している文書や、クラウドサービス提供者の営業担当者、代理店、ベンダー等から共有される文書を基に信頼性を判断することになります。
クラウドサービスの信頼性を評価する観点については、総務省が公開している「クラウドサービス提供における情報セキュリティ対策ガイドライン (第3版)」7 が、クラウドサービス提供者がとるべき情報セキュリティに関するベストプラクティスを以下の項目ごとに整理しており、参考となります。
基本方針
組織体制
サプライチェーンマネジメント
情報資産管理(情報セキュリティポリシー、アクセス管理、構成管理を含む)
従業員のセキュリティ
インシデント管理
コンプライアンス
ユーザーサポート
事業継続
信頼できるクラウドサービスを選定したとしても、ユーザー企業において適切な設定がなされていなければ、セキュリティは確保されません。昨年2023年においても、設定ミスによる情報漏えい事案がいくつも発生しています。たとえば、トヨタコネクティッド株式会社が使用するクラウド環境に関する誤設定により、トヨタ自動車株式会社から取扱いが委託されていた個人データが外部から閲覧できる状態にあり、個人データの漏えいのおそれが発生した事案 8 や、株式会社エイチームにおいてGoogleドライブの閲覧範囲の誤設定があり、個人情報の漏えいに発展した事案 9 などがありました。
これらの事案は、いずれも公開設定や、アクセス権を付与する範囲を誤ったことに起因するものですが、そのほか、適切な設定がされていないケースとしては、識別・認証・認可が不十分である、ロギング(ログの取得)やモニタリングが不十分であるといったものが考えられます。
総務省が2022年に公開した「クラウドサービス利用・提供における適切な設定のためのガイドライン」10 は、クラウドサービス利用者のベストプラクティスを以下のような事項をあげて整理しており、参考になります。
方針の明確化
情報の収集・分析
リテラシー向上
関係者とのコミュニケーション
規則・手順等の整備と定期的な見直し
設定項目の理解と予防・発見のための体制の構築
仕様変更等への対応
設定方法のマニュアル化・ツール導入等
検出・監視ツール導入等、定期的なチェック
設定が適切かどうかは、個別の運用状況に依存します。そのため、クラウドサービスの導入後は、利用状況にあわせた適切な設定がなされているかを継続的にモニタリングする必要があります。最近では、設定を一元的に管理するツールも普及しつつあり、リスクに応じて導入を検討する必要があります。
また、クラウドサービスの仕様変更や、自社におけるビジネスやそのやり方の変化により、新たなリスクが生じることがあります。加えて、仮に、セキュリティリスクが低下しているにもかかわらず、基準をアップデートしないとすると、生産性の低下やシャドーITを誘発する可能性があります。そのため、基準自体についても、継続的に見直す必要があります。
この記事は会員限定です。
登録すると続きをお読みいただけます。
このサイトはreCAPTCHAによって保護されており、
Googleの
プライバシーポリシー
と
利用規約
が適用されます。
SaaS導入・運用の実務と法律上の注意点
バックナンバー(全5件)
第5回
SaaS利用時の情報漏えいリスクと営業秘密管理のポイント第4回
外部送信規律とは?SaaS導入の際に注意すべきクッキー規制第3回
クラウドサービス導入時のセキュリティ審査のポイント – 責任共有モデルと、参考とすべきセキュリティ認証・ガイドライン第2回
SaaS利用時の海外個人情報保護法対応 – 域外適用、越境移転規制第1回
SaaS導入・利用時の個人情報保護法上の注意点 – 委託、外国第三者提供、安全管理措置
大井 哲也
TMI総合法律事務所 弁護士
TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役。クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティの各産業分野における実務を専門とし、個人情報保護法に適合したDMP導入支援、企業へのサイバーアタック、情報漏えいインシデント対応、国内外におけるデータ保護規制に対応したセキュリティアセスメントに従事。セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。自分達のサービスがクライアントのビジネスにいかに貢献できるか、価値を提供できるかに持ちうる全神経を注ぐことを信条とする。TMIプライバシー&セキュリティコンサルティング株式会社 <a href="https://tmiconsulting.co.jp/">https://tmiconsulting.co.jp/</a> 。
中山 翔太
TMI総合法律事務所 弁護士
データ(保護法制、取引)、個人情報、営業秘密、情報・通信・メディア・IT、コーポレートガバナンスに関する案件を主に取り扱う。
那須 翔
金融庁 総合政策局 リスク分析総括課 フィンテック参事官室 イノベーション推進室 課長補佐・総合政策課付
金融庁 総合政策局 リスク分析総括課 フィンテック参事官室 イノベーション推進室 課長補佐・総合政策課付。弁護士、情報処理安全確保支援士。TMI総合法律事務所において個人情報保護、サイバーセキュリティ、AIガバナンス、経済安全保障(外為法、経済安保推進法等)、通信規制(電気通信事業法、電波法等)、金融規制(資金決済法、銀行法、保険業法、貸金業法、犯罪収益移転防止法等)等の実務に従事した後、2024年9月より現職。現職においては、Fintechサポートデスク(<a href="https://www.fsa.go.jp/news/27/sonota/20151214-2.html">https://www.fsa.go.jp/news/27/sonota/20151214-2.html</a>)・Fintech実証実験ハブ(<a href="https://www.fsa.go.jp/news/29/sonota/20170921/20170921.html">https://www.fsa.go.jp/news/29/sonota/20170921/20170921.html</a>)において、Fintechに関連する業規制について事業者からの相談に応じ、新規事業を支援するほか、拠点開設サポートデスク(<a href="https://www.fsa.go.jp/policy/marketentry/index.html">https://www.fsa.go.jp/policy/marketentry/index.html</a>)において、海外で資産運用等を行う者からの相談に応じ、日本市場への参入を支援している。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
SaaS導入・運用の実務と法律上の注意点
SaaS導入・運用の実務と法律上の注意点
この記事をシェアする
最新情報をフォローする