クラウド導入を想定した脅威分析
クラウドサービスは、利用者側が最低限のインターネット接続環境を用意すれば、インターネットを通じてアプリケーションやストレージなどのさまざまなサービスの提供が受けられます。企業や組織ではクラウドサービスの利用が進んでいます。ただし、クラウド導入時には想定される脅威を意識し、クラウド事業者が対応するセキュリティ対策、社内で対応しないといけないセキュリティ対策を意識し、脅威に対応できるのかを検討する必要があります。
Point① クラウドサービスを利用する際の脅威の例
クラウドサービスを利用する際は以下のような脅威が想定されます。長期的な活用にあたってはクラウドサービス提供事業者の事業運営などを検討しないといけない場合もあります。
| 脅威の例 | 脅威に対する対策の例 |
|---|---|
|
盗聴 インターネット回線を利用してデータのやり取りを行うため、通信の盗聴等の可能性がある |
通信の暗号化が行われている |
|
なりすまし
ID管理の不備、認証の不備などで第三者が正規のユーザーとしてログインできる |
2要素認証機能やアクセス制限、環境分離が行われている |
|
情報漏えい
データの管理方法や運用方法のセキュリティ対策が不十分となっている |
保存時や持ち出し時は暗号化している |
Point② システム面だけでなく運営会社についても確認
クラウドサービス提供事業者自体がセキュリティをおろそかにしていると、安心してサービスを利用できません。企業運営の中でセキュリティ対策をどのようにしているかを確認することも重要になります。
- JIPDEC や JQA 等で認定している情報管理に関する公的認証 (ISMS、プライバシーマーク等) が取得されているか?
- 侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ているか?
- データにアクセスできる利用者が限定されているか?
- 提供者側でのデータ取扱環境が適切に確保されているか?
- システムとやりとりされる通信の暗号化強度は適切か?
テキスト2日目より再掲
個人情報や社内セキュリティの規定の確認、システムへのアクセス権限、第三者評価の有無などを把握するため、クラウドサービス提供事業者へ質問票などを使い状況をヒアリングする場合もあります。