グッジョブコラム 2023.09.13

クラウドサービスの安全性は？セキュリティリスクと重要ポイント・対策まとめ

ファイルの保管・データ共有などに活用される「クラウドサービス」。
ネットワーク回線があればどこからでもアクセス可能で、大量のデータを管理できるため、クラウドサービスを導入する企業・ユーザーは増加傾向にありますが、セキュリティ上のリスクが生じることも忘れてはなりません。

今回は、いま改めて確認しておきたいクラウドサービスの概要と、サービスの安全性・評価についてお伝えします。

クラウドサービスとは
- クラウドサービスを利用するメリット・デメリット
- クラウドサービスの利用における注意点
クラウドサービスには安全性を評価・認証する制度がある
- 情報セキュリティに関する認証制度が普及している背景
情報サービスにおけるセキュリティの認証制度について
クラウドサービスの利用にはISO・ISMS認証が不可欠

クラウドサービスとは

クラウドサービスとは、インターネットを経由して利用できる、データベース・サーバー・ストレージなどのサービスを指します。
身近な例を挙げると、SNS・オンラインゲーム・メールサービスなども、クラウドサービスに該当します。

クラウドサービスを利用するメリット・デメリット

クラウドサービスを利用する前に、サービスのメリット・デメリットを把握しておくと安心です。

クラウドサービスの利用における注意点

クラウドサービスを安全に使うには、利用者側でしっかりとセキュリティ対策をするという意識が大切です。
クラウドサービス利用時の注意点とセキュリティ対策について、簡単にポイントをまとめましたので、参考にしてください。

不正アクセスへの対策：クラウドサービスでログインするための、パスワードやIDといったアカウントの管理を徹底すること
データ消失への対策：データ消失や破損に備えバックアップを取ること
第三者からの攻撃への対策：サイバー攻撃への対策として、防御システムを採用しているか確認すること

クラウドサービスには安全性を評価・認証する制度がある

クラウドサービスには、政府が求める「情報システムのセキュリティ要件」と「セキュリティ評価制度（ISMAP）」があります。
安全なクラウドサービスを選ぶ基準として、セキュリティの評価・認証を受けているかを目安にすると良いでしょう。

情報セキュリティに関する認証制度が普及している背景

例えば、個人情報などの管理にクラウドサービスを利用するケースがありますが、特に企業や公的機関では情報漏洩に注意しなければなりません。
そこで、組織やサービスの安心・信頼性のアピールとして、情報セキュリティ認証制度が普及しているわけです。

情報サービスにおけるセキュリティの認証制度について

ITセキュリティの評価・認証制度は、“Japan Information Technology Security Evaluation and Certification Scheme”の略で「JISEC」と呼ばれています。
ITセキュリティの国際規格には「ISO/IEC 17025」がありますが、JISECはこの国際規格を基準として新たに規格化した、日本国内のITセキュリティ認定制度です。
JISECの認証対象となるIT製品・システムには、デジタル複合機・ICカード・USBフラッシュドライブ（USBメモリ）・データベース管理システムなどがあります。

ISMS（ISO/IEC 27001）とは

ISMSとは、情報セキュリティマネジメントシステム（Information Security Management System）の略で、組織の「情報セキュリティのリスクを管理する仕組み」を意味します。
ISMSの一つで、世界的に認められるセキュリティ対策の基準に「ISO/IEC 27001」があります。
ISO/IEC 27001では、情報セキュリティ3大要素の「機密性・完全性・可用性」をもとに、ISMSの運用や構築を国際規格化しています。
ISO/IEC 27001の認定を取得するには、ISO規格の基準を満たした上で、認証機関の審査を受ける必要があります。

ISO規格の基準となる重要なポイント

機密性：アクセス許可を得た者だけが情報を利用することで、不正アクセスや情報漏洩を防ぐこと
完全性：データを正確に処理し、改ざん・破壊・消去されないこと、また情報が最新であること
可用性：災害やシステムトラブルなどが生じた場合、必要に応じてアクセス可能な状態を確保すること、またデータ消失防止のためバックアップを取ること