便利なSaaSの意外な“落とし穴” 知っておきたい「責任共有」の基礎 専門家が徹底解説

[PR／ITmedia]

PR

　ここ数年で企業のクラウドサービス（以下、クラウド）の活用が広がってきた。総務省の「令和4年版 情報通信白書」によると、2021年には企業の70％以上が何らかのクラウドを使っている。クラウドの中でも、その手軽さから導入企業を増やしているのがSaaSだ。

　SaaSの他、PaaSやIaaSなど便利なクラウドが広まる一方で、簡単に使えるが故に、設定ミスや管理体制の問題による情報セキュリティ事故が後を絶たない。クラウドは安全に使えば企業の事業を強力に支えてくれるが、一度事故が起きると情報流出など深刻な事態になりかねない。

　そこで今回は、クラウドの情報セキュリティについて考えていく。重要なのが「責任共有モデル」という考え方だ。本記事ではクラウドの情報セキュリティ対策に取り組む国際的な非営利団体Cloud Security Alliance（CSA）の日本支部、日本クラウドセキュリティアライアンスで理事を務める諸角昌宏氏に、責任共有モデルについて解説してもらった。

諸角昌宏氏

　日本クラウドセキュリティアライアンス（CSAジャパン）の理事。2009年のCSAジャパン立ち上げ時から参加。クラウドセキュリティを専門にCSAの「クラウドセキュリティガイダンス」や認証制度「STAR認証」の翻訳や普及に努める。

　クラウドセキュリティ分野の資格「CCSK」「CCSP」などを取得、情報セキュリティの専門家育成を手掛ける(ISC)2の認定講師も務める。

　またCSAリサーチフェローとして、CSA本部のリサーチ活動を進めるとともにCSAジャパンのリサーチ活動との連携を行っている。

そもそも企業がクラウドを支持する理由は？

　そもそも企業がクラウドを支持する理由は、一般的にオンプレミスのITシステムより導入や管理が簡単だからだ。これまではサーバを購入してミドルウェアやアプリケーションを用意するといった設備投資をした上で、数年掛けて減価償却をしていた。しかしクラウドは月額制のサブスクリプション型なので、大規模な初期投資がいらず、投資のリスクを避けつつ新しいことにチャレンジできる点がビジネス上の利点だと諸角氏は話す。

日本クラウドセキュリティアライアンスの諸角昌宏氏（理事）

　さらにコロナ禍がクラウドの導入を後押しした。どこからでも簡単にネットワーク経由で業務ツールにアクセスできる環境は、テレワークに取り組む企業の要求にマッチしたからだ。導入から利用開始まで素早く進められる上に、サブスクリプション型なので料金を部門内の予算で賄える点も大きな特徴だ。

　システム管理者にとってもメリットは大きい。オンプレミスのITシステムは、ハードウェアやOS、アプリケーションごとにサポート期限があり、定期的に更改する必要があった。加えて脆弱性を修正するパッチ適用やバージョンアップの管理など手間も掛かる。しかしクラウドは提供事業者がそうした煩雑な作業を担うため、ユーザー側の管理負担は軽減される。

「クラウドの重大セキュリティ脅威」は大半がユーザーに原因あり

　こうした利点が評価され、クラウドの利用企業が増えてきた。しかしそれに伴って情報セキュリティ事故も増加している。CSAが毎年公開している調査レポート「クラウドの重大セキュリティ脅威」では、19年以降はユーザー側の設定ミスや不注意による情報セキュリティ上の脅威が大半を占めている状況だ。

　「いまはクラウド事業者の情報セキュリティ対策レベルがとても高くなっており、ユーザーが事業者側の対策を気にする必要はないほどです。だからこそユーザー側の対策や情報セキュリティへの意識が大切です」（諸角氏）

責任共有モデルでクラウド全体の安全性を強化

　こうした状況で、クラウドの土台に当たる責任共有モデルを改めて周知したいと諸角氏は話す。責任共有モデルとは、クラウドに関して背負う責任の範囲を、事業者とユーザーで分担する仕組みだ。例えばSaaSの場合、ユーザーはSaaSで扱うデータやアクセス管理に責任を持ち、事業者はインフラやアプリケーションの管理で責任を負うといった具合だ。

　こうした責任の境界を責任分界点と呼ぶ。責任共有モデルを採用することで、クラウド全体の情報セキュリティを強化できる。ここ最近はこの考え方が徐々に浸透しているが、まだまだ「クラウドは事業者に丸ごと任せられて安心」というユーザーの誤った認識が抜けきれていない。

責任共有モデルの全体像。水色がユーザー、紺色が事業者の責任範囲を示す。SaaSの場合は、上2段分の「ユーザーアクセス」「データ分類と説明責任」が責任範囲になる（CSAジャパンブログより引用／クリックで画像拡大）

責任共有モデル　2つのポイント　クラウドの評価にユーザーはどう取り組むべきか

　責任共有モデルの中でユーザーは2つのポイントを押さえる必要がある。1つ目は、自分たちの責任範囲を適切に管理しているかどうかだ。扱うデータのガバナンス体制、IDやアクセス権限の管理、クラウドにアクセスできるクライアントのチェックなどを徹底する必要がある。

　2つ目は、自社のセキュリティ基準に合った対策を事業者がしているか評価するというものだ。欧米では事業者が積極的に情報を公開し、ユーザーがきちんと評価する流れが定着しつつあるが、日本では見落とされがちだと諸角氏は警告する。

　評価を重視する理由は、クラウドに関わる情報セキュリティ事故が起きた場合、自社のセキュリティ方針や対策の説明責任はユーザー側にあるからだ。そのため、導入したクラウドの安全性や対策内容を定期的に評価して把握する必要がある。

責任共有モデルの概要（諸角氏の説明資料より／クリックで画像拡大）

　具体的な取り組み方法としては、自社の情報セキュリティ対策の基準を基にチェックリストを作って各項目を確認する方法が確実だ。とはいえ、クラウドを評価するチェック項目を作るのは簡単ではない。

　そこでCSAでは、標準的なクラウドの情報セキュリティ対策を基にした一問一答形式のチェックリスト「CAIQ」（Consensus Assessment Initiative Questionnaire）を公開している。これを活用すれば、チェックリストを一から作り上げずに済む。

　CAIQには約300の設問があり、丁寧に利用するクラウドサービスを評価できる。ユーザーがより手軽にチェックできるよう、設問を厳選して73項目にまとめた「CAIQ-Lite」も提供している。まずCAIQ-Liteで最低限必要な部分をチェックし、最終的にはCAIQベースで評価するのが理想的だ。

　このCAIQのメリットは、SaaSを評価しやすくなる点だ。「IaaSやPaaSは大規模な事業者が多いので、情報セキュリティの水準は高い傾向にあります。そのため評価しやすいといえるでしょう。しかしSaaSは提供する事業者が多く、情報セキュリティのレベルに差があるのでチェックリストの作成や評価も難しくなります。そこでCAIQが役立つわけです」（諸角氏）

クラウド事業者がCAIQ基準に自己評価　ユーザーの評価が効率的に

　さらにCSAでは、事業者がCAIQを基に自社のクラウドを自己評価して、その結果を登録する情報サイト「STAR Registry」を用意している。すでに1500社超の事業者が評価結果を登録しており、ユーザーはこれを活用すれば効率的に評価できる。

CAIQやCAIQ-Liteのポイント（諸角氏の説明資料より／クリックで画像拡大）

　CSAではこうした取り組みを通して、日本でもクラウドのセキュリティに関する透明性が高まることを期待している。「日本の事業者は『セキュリティ情報を公開するとリスクが増大する』という考えが根強いですが、事業者が積極的に情報を公開して透明性を高め、利用者がきちんと評価することが大切だと考えています」（諸角氏）

　チェックリストの他、クラウドの利用状況を監視して適切な情報セキュリティ対策をする「CASB」（Cloud Access Security Broker）のリスクスコアを使う方法や、リスク評価サービス「VRM」（Vendor Risk Management）、クラウドの設定ミスを防ぐツール「CSPM」（Cloud Security Posture Management）などを活用することも有効だ。

「Salesforce」を例にした責任共有モデルの解説

　ここまでクラウドの責任共有モデルと情報セキュリティ対策を説明してきた。ここからは具体例を基に解説していく。

　「クラウドサービスの情報セキュリティ対策を考える上で、とても参考になるのが米Salesforce社です。高いレベルでの対策と情報公開を進めているので、取り組みが分かりやすい例です」（諸角氏）

　責任共有モデルのうち、Salesforce社が責任を負う範囲では通信やインフラにおける暗号化やシステム構成の冗長化といった取り組みに加えて、全ユーザーが使える災害対策サイトを遠隔地に用意するなどさまざまな対策を施している。こうした取り組みから、情報セキュリティ管理の国際規格「ISO 27001」や、日本の内閣官房や総務省などが実施するセキュリティ評価制度「ISMAP」^※といった多数の認証を取得している。

※ISMAP制度に登録されているSalesforce社のサービスは、Salesforceをはじめとする「Salesforce Services」の他、「Heroku Services」「Salesforce Services on Hyperforce」「Slack」がある。

Salesforceにおける責任共有モデルを基にした責任範囲（Salesforce社の資料より引用／クリックで画像拡大）

　そして、Salesforceへのログインやそこで扱うデータの管理はユーザー側の責任だ。ただしSalesforce社では、ユーザー側の責任範囲に関するサポートも提供している。契約者が使えるツール「セキュリティ状態チェック」では、情報セキュリティ対策のベストプラクティスを基にしたルールを作成し、ユーザー側の各種設定をチェックすることができる。パスワードの堅牢性といった項目から潜在的な脆弱性がないか確認できる他、Webサイトの脆弱性を悪用したクリックジャッキングやクロスサイトリクエストフォージェリーなどの攻撃からユーザーを保護する。

　さらにSalesforceの管理最適化を支援する「Salesforce Optimizer」は、各種機能の改善やカスタマイズ内容のクリーンアップ、複雑性の軽減といった機能がある。このSalesforce Optimizerを使うとオブジェクト（商談や契約情報などのデータ群）の共有状況を確認し、過剰なアクセス権限を付与していないかチェックして設定ミスによる情報漏えいを防止できる。またSalesforceを強制的にアップデートせず、ユーザー側で検証できる猶予期間を設けるといったことにも取り組み、思わぬ設定漏れやセキュリティホールが生まれないようにしている。

　ここではSalesforce社を例にしたが、こうしたツールを提供しているクラウド事業者は多い。これらを有効活用し、日常の運用に組み込むようにすれば、責任共有モデルにおけるユーザー側のセキュリティ維持に対応する負荷を減らせる。

クラウドを安全に使うための責任共有モデル　いま一度、自社の対策の確認を

　繰り返しになるが、クラウドの情報セキュリティ対策は事業者だけでも、ユーザーだけでも達成できない。双方が責任を果たすことではじめて実現できる。そのため、事業者は情報公開を進め、ユーザーはその情報を入手して内容の把握に努めることが大切だと諸角氏は指摘する。

　この先もクラウドを便利なツールとして安全に使うためには、責任共有モデルを理解して、必要な情報セキュリティ対策をどう進めていくか常に考えることが重要だ。自社だけでは難しいなら、事業者が用意しているツールや、CSAのような第三者が提供しているサービスを使えばいい。いま一度、自社が使っているクラウドの責任分界点と情報セキュリティ対策を見直してみてはいかがだろうか。