クラウドを取り巻く情報セキュリティガバナンスの重要性
2018年6月に日本政府が発表した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」において、政府情報システムの構築・整備に関しては、クラウドサービスの利用を第一候補(デフォルト)として考える『クラウド・バイ・デフォルト原則』が示されたことで、日本国内でもクラウドサービスの活用が大きく進みました。
様々なメリットがあるクラウドサービスですが、サービス運営や基盤の構築・運用をクラウド事業者が実施するサービス形態がゆえに、利用者側でサービスやリスクを正しく認識できず、セキュリティやコンプライアンスに課題を抱えるケースも少なくありません。
情報処理推進機構(IPA)が発行した「情報セキュリティ白書2022」によると、クラウドサービスの利用範囲や利用者数の拡大に伴い、クラウドサービスに関するセキュリティインシデントの報告も増加しています。「不正アクセス」や「スクリプトの改ざん」と並び、利用者による「設定ミス」に起因するインシデントが増加傾向にあります。
一方で過度に恐れる事は、機会損失やコスト増加の危険性があるため、リスクを正しく理解して適切に受入れるために、セキュリティやコンプライアンス、コスト管理について利用者側で規定し、正しく運用するための、情報セキュリティガバナンスを構築することが非常に重要となります。
クラウドサービス利用時の情報セキュリティガバナンスの課題
かつて情報システムやネットワークは組織内に保有するオンプレミス方式が主流でした。システムやハードウェアの調達、構築、運用の一部を委託するホスティングサービスやハウジングサービスを利用する場合でも責任分界が比較的明確だったため、経営陣や情報システム部門によって情報システムを一元的に管理して、実効性ある情報セキュリティガバナンスが確立できていました。
一方で、クラウドサービスの利用にあたっては、業務領域やアプリケーションの開発や運用を主にクラウド利用者、ファシリティやインフラ基盤、およびそれらの運用は主にクラウド事業者が分担する、いわゆる「責任共有モデル」が採用されるため、情報セキュリティガバナンスの主体はクラウド利用者とクラウド事業者に分断され、サービス形態や利用方法によっても責任分界点が異なるため、情報セキュリティガバナンスを確立する事が困難になってきています。
一般に自組織の内部統制は外部組織には及ばず、情報セキュリティを直接コントロールすることができないため、情報資産や運用の多くを外部組織に委託するクラウドサービスに対して、経営陣や情報システム部門は責任共有モデルに基づき、情報システムの情報セキュリティを担保するための施策を検討する必要があります。
また、明確な悪意に対抗するために、より高度な施策であるサイバーセキュリティ戦略も重要です。
クラウド活用により組織外にデータが分散されることは、攻撃者のアタックサーフェースが増えることになるという点にも注意払う必要があります。ゆえに、従来の境界防御施策だけでは十分に対策責任を果たしているとは言えなくなっているのがサイバーセキュリティ観点での現状だからです。
したがって、クラウドサービスを利用するにあたって情報セキュリティガバナンスおよびサイバーセキュリティは、最優先で検討しなければならない大きな課題の一つと言えます。
参考:クラウドサービスの責任共有モデル
主要なクラウド事業者は、セキュリティとコンプライアンスは、クラウド事業者と利用者で共有すべき責任として、「責任共有モデル」を定義しています。
また米国国立標準技術研究所(NIST)が公開した「NISTによるクラウドコンピューティングの定義(SP 800-145)」で示された「SaaS」、「PaaS」、「IaaS」の3つのサービスモデルごとに、責任の範囲が異なります。
以下の図は、各サービスモデルにおけるクラウド事業者と利用者との責任範囲を示したものです。
効果的な情報セキュリティガバナンス戦略の考え方
情報セキュリティガバナンスの構築にあたっては、経済産業省によるガイドラインやISO/IEC27014による国際標準規格など、多くのスタンダードやフレームワークに基づき整備されることが提唱されていますが、適用範囲の定義やポリシー定義、管理手法やモニタリング体制など、情報セキュリティガバナンスの構築には長い時間と労力を要します。
今回は具体的な課題に対する対応施策として、ガートナーが提唱する「パブリッククラウドコンピューティングのガバナンスを実現する方法論 (Solution Path for Enabling Governance of Public Cloud Computing)」を基に、情報セキュリティガバナンスの改善に向けた4つの具体的な方法論について紹介します。
1.ガバナンスチームの設立
情報セキュリティガバナンス戦略を実施するには、サイバーセキュリティ、ID・権限管理、アプリケーション管理など、複数のIT分野をカバーすることが必要です。この取り組みを管理するチームを任命します。
2.クラウド活用に向けた戦略とポリシーの定義
情報セキュリティガバナンスプログラムは組織のビジネス目標にあわせて設定する必要があります。組織独自のアプリケーションニーズ、システム予算、セキュリティリスク、コンプライアンス要件に基づき、作成すべき主要な戦略やポリシーを特定します。
3.セキュリティやガバナンスの効率的・効果的なチェック
各クラウド資産に関するアクセス権の監視/制御/強制、ワークロードの可視化、ポリシー違反の通知など、情報セキュリティガバナンスの効率的かつ効果的な実現に向け、クラウドサービスの構成やセキュリティ状態を監視・制御・監査するためのツールやサービスを導入します。
4.ビジネスユニットへのガバナンス適用
組織全体で策定した情報セキュリティガバナンスを各ビジネスユニットで実現するためには、設定したルールの遵守を促すだけの一方的で形式的な管理ではなく、現場の状況や仕組みの実態に合わせた、対話的・協調的な適用が必要です。
出所:Gartner「Solution Path for Enabling Governance of Public Cloud Computing」(2018年6月13日)
最新情報をフォローする
