News & Event

ニュース・イベントNews & Events

[月刊総務オンライン] 第2回 オンラインストレージの事故とクラウドセキュリティガイドライン

みなさん、こんにちは。「GIGAPOD(ギガポッド)」というオンラインストレージアプライアンス・メーカー「トライポッドワークス」でマーケティングアドバイザーをしている吉政(よしまさ)と申します。

このコラムは、ITに詳しくない方でも安全に「オンラインストレージ」を使用できるように、IT用語を極力使用せずに説明していきます。前回は「オンラインストレージの法人活用方法と注意事項」をご紹介しました。今回はさらに踏み込んで「オンラインストレージの事故とクラウドセキュリティガイドライン」について書きます。

まず、ここではあえて実名を出しませんが、みなさまの会社の社員がよく使っている有名な会社の「オンラインストレージ事故」をいくつか紹介します。後半ではオンラインストレージのみならず、クラウドやSaaSなどのITオンライン・サービス全般を検討する時の基準となる経済産業省のワーキンググループが公開した、クラウドセキュリティガイドラインの読み方についてご説明いたします。

最初にトピックとして興味深いデータをご紹介します。世界各国の大手企業(従業員数1000人以上)の384人のビジネスマネジャーを対象に調査した米Courionの年次調査「2010 Access Assurance Survey」によると、「7社に1社の企業が自社のクラウドアプリケーションへの不正アクセスの危険性があることを認識しながらも、不正アクセスを見つける方法がないと考えていることが分かった。」とのことです。また、不正アクセスに対する責任者が不明な企業は全体の78.4%にあたるそうです。
このデータから私が感じたのは「よくわからないものに対してだれも責任を持ちたくない」という意図が見え隠れしている、ということです。皆さまの会社はいかがでしょうか? 責任者がいないということは企業としてしっかりとした対策を継続的に施していない可能性もあり、企業として好ましい状況ではないと考えています。
以下では、オンラインストレージに関する事故を中心にご紹介したいと思います。この事故事例をご覧になり、まだ対策をとっていない会社がどのようなリスクに直面しているか想像してみてください。是非、この機会に社内でどのような対策を取るかを検討されてもよいと思います。

※以下、匿名で記載していますが、「クラウド 事故」、「オンラインストレージ 事故」でネット検索することで詳細の情報を得ることができます。

◆2009年3月10日発表 世界的な大手インターネット検索ポータル企業の事故
世界中の社会人で知らない人はいないくらいの有名な会社です。最近日本でもよく使用されているオンラインドキュメント共有サービスにおいて、非公開のはずのドキュメントが他のユーザに共有されてしまうという不具合が発生されたことを発表しました。影響を受けたのはユーザの0.05%とされますが、数百万人が被害にあったといわれています。

◆2011年10月21日発表 世界的なSNS(ソーシャルネットワークサービス)会社の事故
世界トップクラスのSNS会社において、ユーザ名とパスワードが1万件以上盗まれ、Webサイトで公開されていた恐れがあることがニュースで報じられました。

◆2009年10月23日発表 米国のクラウドサービスプロバイダーの事故
世界中の社会人で知らない人はいないくらいの有名なソフトウェア会社の子会社での事故です。クラウドサービスがシステム障害により、ユーザが預けているデータが消失しました。被害数は非公開でした。

なお、上記以外の事故については若干古いですが、経済産業省が公開している資料でも一部確認できます。詳細は以下の引用画像をご覧ください。
 
onlinestorage2.jpg
※経済産業省資料「クラウドサービス利用のための情報セキュリティマネジメントガイドラインについて」(2011年4月1日公開)より引用

実はこのような事例を調べてみると、事故には特徴があることがわかります。この記事を書いている2012年2月末時点での情報になりますが、「日本では大きな事故が起きていないこと」「マルチテナント方式を採用されているケースが多く、被害数が万単位になること」の2つです。日本の企業は海外の企業よりも情報を公開しない傾向があるからではないか?と考える読者もいるかもしれませんが、このようなサービスの場合、常にユーザの目にさらされているため、企業側が情報を隠蔽しようとしてもすぐにTwitterやFacebookなどで事故の情報が広まってしまうため、日本のプロバイダーが事故を起こした場合でも、すぐにその事実が露呈すると考えられます。

事故を起こした企業は前回のコラムで記載したオンラインストレージの選定基準を満たしていないように思えます。マルチテナント方式を採用していなければ、被害範囲が万単位になることはありえないと考えています。是非、前回のコラムに記載した「オンラインストレージの選定基準」を参考にしていただき、読者のみなさまがオンラインストレージを検討する際に、しっかりとセキュリティが確保されていないサービスを利用するとこのような事故に巻き込まれる可能性があることを認識していただければ幸いです。

ちなみに、事故を起こしたクラウドサービスをすべて否定しているわけではありません。利用する側が適切な知識を持って、用途に合わせて使い分ければよいと考えています。

続いて、そのサービスプロバイダーの規約について述べます。今回フォーカスするのは経済産業省が2011年4月1日に公開した「クラウドセキュリティガイドライン」についてです。ここではその必要性と読み方をご紹介します。
まず、前述のような事故以外にも大小さまざまな事故が海外では起き、被害にあっています。そこで、海外の業界団体では、ユーザを守るべく、検討時のチェックポイント集ともいうべき各種ガイドラインが公開されています。筆者が一番評価しているのはCloud Security Alliance(CSA)が公開しているガイドラインです。評価している理由はチェック項目としてまとまっており、技術的な部分以外も含めて法律関係からBCP対策まで幅広く押さえているところです。ガイドラインの初版は日本語化されており、アマゾンなどで「CSA クラウド・セキュリティ・ガイダンス」を検索するとすぐに和訳資料が見つかると思います。

みなさまが各種クラウドを利用するときに必ず承認しなければならないのが、サービス規約です。ただし、実際の規約はクラウドプロバイダー側を守るための規約であり、利用者を守る規約でないことが多いので注意が必要です。そこで、読者のみなさまには経済産業省が公開しているクラウドセキュリティガイドラインを基準に、クラウドプロバイダーが提示している規約を理解されることをお勧めいたします。なお、クラウドセキュリティガイドラインはあくまでガイドラインであるので、このコラム同様、参考としていただき、最終的に利用者側の責任で判断する必要があります。ここでは、クラウドセキュリティガイドラインを短時間で読む方法をご紹介しますので、合わせてご参照ください。

まずこの「クラウドセキュリティガイドライン」の特徴ですが、合計すると5種類のPDFで構成されています。最初に目次をご覧いただくと、目次だけでも5ページにわたって存在しているので、それだけで挫折しそうになりますが、ご安心ください。「クラウドセキュリティガイドライン」の良いところは、細かい部分も含めて広範囲にわたって記載されていますが、各項目はA4で半分ほどの文章量でまとまっているため、とても理解しやすい点です(実際の量はそれほど多くないのです)。また、このガイドラインは従来のガイドラインと比べてもかなり実践的な内容で書いてあるので、参考になる部分も多いと思います。
さて、本題の経済産業省のクラウドセキュリティガイドラインの読み方をご説明します。

1.電子ファイルを入手する
(ア) 経済産業省のこちらのページを表示し、最下段の発表資料のすべてをダウンロードする
2.最初に上から3つ目の「クラウドセキュリティガイドライン1(PDF形式:1,377KB) 」の目次を読み、全体の流れを理解する
3.次に上から2つ目のプレゼンテーション資料版「クラウドサービス利用のための情報セキュリティマネジメントガイドラインについて(PDF形式:1,760KB) 」に全体の要約が書いてあるので、これを読み理解する。
4.時間がある方は再度3つ目の「クラウドセキュリティガイドライン1(PDF形式:1,377KB) 」を読み全体を理解してください。時間がない方は目次をみながら不明な点を中心にお読みください。

シンプルな解説ですが、この読み方にするだけで、かなり読みやすくなると思います。この「クラウドセキュリティガイドライン」はクラウドサービスプロバイダーと利用者の両者にとって、健全なクラウド環境を実現することを目的として作られた、日本のクラウド市場発展のためのバイブル的なガイドラインです。是非ご一読いただき、クラウドサービスプロバイダーとの理想的な関係のイメージを持ってください。その上で読者のみなさまにとって重要な項目を抜き出して、検討中のクラウドサービスプロバイダー向けに質問されてもよいと思います。

※本記事は月刊総務オンラインより転載しています。