クラウドサービスの安全性は?セキュリティリスクと重要ポイント・対策まとめ
ファイルの保管・データ共有などに活用される「クラウドサービス」。
ネットワーク回線があればどこからでもアクセス可能で、大量のデータを管理できるため、クラウドサービスを導入する企業・ユーザーは増加傾向にありますが、セキュリティ上のリスクが生じることも忘れてはなりません。
今回は、いま改めて確認しておきたいクラウドサービスの概要と、サービスの安全性・評価についてお伝えします。
目次
クラウドサービスとは
クラウドサービスとは、インターネットを経由して利用できる、データベース・サーバー・ストレージなどのサービスを指します。
身近な例を挙げると、SNS・オンラインゲーム・メールサービスなども、クラウドサービスに該当します。
クラウドサービスを利用するメリット・デメリット
クラウドサービスを利用する前に、サービスのメリット・デメリットを把握しておくと安心です。
クラウドサービスの利用における注意点
クラウドサービスを安全に使うには、利用者側でしっかりとセキュリティ対策をするという意識が大切です。
クラウドサービス利用時の注意点とセキュリティ対策について、簡単にポイントをまとめましたので、参考にしてください。
- 不正アクセスへの対策:クラウドサービスでログインするための、パスワードやIDといったアカウントの管理を徹底すること
- データ消失への対策:データ消失や破損に備えバックアップを取ること
- 第三者からの攻撃への対策:サイバー攻撃への対策として、防御システムを採用しているか確認すること
クラウドサービスには安全性を評価・認証する制度がある
クラウドサービスには、政府が求める「情報システムのセキュリティ要件」と「セキュリティ評価制度(ISMAP)」があります。
安全なクラウドサービスを選ぶ基準として、セキュリティの評価・認証を受けているかを目安にすると良いでしょう。
情報セキュリティに関する認証制度が普及している背景
例えば、個人情報などの管理にクラウドサービスを利用するケースがありますが、特に企業や公的機関では情報漏洩に注意しなければなりません。
そこで、組織やサービスの安心・信頼性のアピールとして、情報セキュリティ認証制度が普及しているわけです。
情報サービスにおけるセキュリティの認証制度について
ITセキュリティの評価・認証制度は、“Japan Information Technology Security Evaluation and Certification Scheme”の略で「JISEC」と呼ばれています。
ITセキュリティの国際規格には「ISO/IEC 17025」がありますが、JISECはこの国際規格を基準として新たに規格化した、日本国内のITセキュリティ認定制度です。
JISECの認証対象となるIT製品・システムには、デジタル複合機・ICカード・USBフラッシュドライブ(USBメモリ)・データベース管理システムなどがあります。
ISMS(ISO/IEC 27001)とは
ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)の略で、組織の「情報セキュリティのリスクを管理する仕組み」を意味します。
ISMSの一つで、世界的に認められるセキュリティ対策の基準に「ISO/IEC 27001」があります。
ISO/IEC 27001では、情報セキュリティ3大要素の「機密性・完全性・可用性」をもとに、ISMSの運用や構築を国際規格化しています。
ISO/IEC 27001の認定を取得するには、ISO規格の基準を満たした上で、認証機関の審査を受ける必要があります。
ISO規格の基準となる重要なポイント
機密性:アクセス許可を得た者だけが情報を利用することで、不正アクセスや情報漏洩を防ぐこと
完全性:データを正確に処理し、改ざん・破壊・消去されないこと、また情報が最新であること
可用性:災害やシステムトラブルなどが生じた場合、必要に応じてアクセス可能な状態を確保すること、またデータ消失防止のためバックアップを取ること
ISO 27017とは
ISO 27017とは、前述したISMS(ISO/IEC 27001)の取り組みを強化した情報セキュリティ管理策の規格のことで、クラウドサービスの提供者・サービス利用者双方に適用されるものです。
クラウドセキュリティは、次の通り3つの機関で認証する「第三者認証」により適合性評価が行われます。
認証を行う機関
- 認証機関:ISO/IEC 27001に適合しているか審査して登録をする機関
- 要員認証機関:審査員に認証の資格を与え、認証する役割を担う機関
- 認定機関:認証機関と要員認証機関が業務を遂行する能力があるかチェックする機関
クラウドサービスの利用にはISO・ISMS認証が不可欠
弊社では、人材派遣の情報管理システムとして、クラウドサービス「グッジョブ」を提供しています。
グッジョブでは、2023年3月にISO 27017を取得しました。
ISO 27017の取得は、国際レベルの情報セキュリティで管理体制を築いているサービスの証です。
グッジョブではシステムを随時更新し、より高いセキュリティレベルを保ちながら、頻繁に改正される労働基準法に対応しています。
今後も派遣先企業様にとって、安心・便利にご利用いただけるサービスを提供しますので、ぜひ前向きに「グッジョブ」の導入をご検討ください。