皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリストこと、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第221回目は、このブログの本題になっている GEITについての続きです。
これまでほとんどは、ISACAの話題を中心にお伝えして来ましたが、第210回目からは、ISACAを離れて、日本のGEIT人材であるITコーディネータについて、お伝えしています。
【ITコーディネータ関連の環境変化の続き7】
ITコーディネータ制度は、経済産業省が、日本の競争力を回復する高度人材として、未来を見据えた構想の中で制度化した割には、10年以上経った現在でも、非常に認知度が低く、その活用も不十分な状態が続いています。
第213回から、この十数年の間に起こった、ITに関係する最大の環境変化の、オンプレミスからクラウドへの移行についてお伝えしています。
今回も引き続き、クラウドコンピューティング型のサービスを有効に利活用する方法について、説明します。
前回同様、中小企業向けとして、IPA(独立行政法人情報処理推進機構)のセキュリティセンターが、2011年4月25日に公表した、以下ページにある2つの資料で、説明して行きます。
・「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について
参照URL:
https://www.ipa.go.jp/security/cloud/tebiki_guide.html
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
今回も、『クラウド事業者による情報開示の参照ガイド』の続きについてお伝えします。
このガイド(『クラウド事業者による情報開示の参照ガイド』)は、前々回までお伝えしていた『中小企業のためのクラウドサービス安全利用の手引き』に対応する形式となっています。
『中小企業のためのクラウドサービス安全利用の手引き』では、クラウド事業者の開示する情報について、説明してきた通り以下の6カテゴリを提示しています。
1. 事業者の信頼性
2. サービスの信頼性
3. セキュリティ対策
4. 利用者サポート
5. 利用終了時のデータの確保
6. 契約条件の確認
このガイドは、これらの6カテゴリ毎に、以下の3項目を示しています。
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
・開示が望まれる情報項目
・開示の方法(案)
このガイドで提示している項目は、クラウド事業者が、全てを公開しなければならないというものではありません。
利用者自らが、クラウドサービスの利用について判断する際に参照すべき情報として提示しています。
必要に応じて限定された情報項目や開示方法(既存会員限定など)で、提供するような事も考えられます。
以下の状況が実現する事を目標に、作成されています。
・クラウド事業者側に、特段の負担が増える事がない
・利用者側にとって、必要な情報が提供される
・中小企業によるクラウドサービスの利用が促進される
2. サービスの信頼性
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
(10)サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービスレベルは示されていますか?
クラウドサービスは、メンテナンスや障害のために、予告して、あるいは突然止まることがあります。
その対策方針等は、SLA(サービスレベルアグリーメント、またはサービスレベル契約書)等の文書で示されている場合が多いです。
クラウドサービス利用者は、事業者の信頼性に加えて、サービスそのものの信頼性についても確認したいと考えています。
サービスの信頼性に関する情報としては、サービスの稼働率、計画的または偶発的停止の際の連絡や回復時間に関する情報、その間のサポート等に関する情報等が該当すると考えられます。
運用面での情報を開示することで、利用者に安心感を持ってもらうことができます。
・開示が望まれる情報項目
・サービスの稼働状況
・サービスの稼働率
・計画的停止
・障害時の復旧
◇サービスの稼働状況
・通常運転時の稼働状況
・サービス
・システム
・稼働状況を確認できる情報源(ダッシュボード等)
・場所
・見方
◇サービスの稼働率
・サービスのアップタイム率(計算単位含む)
・見込み
・保証値
・保証値が未達の場合の補償内容
◇計画的停止
・事前通知のリードタイム
・停止の最大時間
◇障害時の復旧
・障害発生時の通知
・方法
・タイミング
・障害復旧までの見込み時間
・復旧途中での情報提供の方法
・障害期間中のサポート体制
・その他
『中小企業のためのクラウドサービス安全利用の手引き』では、以下の様な項目が判断の参考になりますとして、示しています。
(ア)予告して停止する場合
(イ)突然の障害等の連絡
(ウ)稼働率保証として示されている
(エ)稼働率保証以上のサービス停止
(オ)現在のクラウドの情報を常時提供している
・開示の方法(案)
サービスの信頼性に関する情報は、ウェブサイトやサービスカタログに記載されていると良いでしょう。
利用者はサービスの詳細を確認すると共に、サービスに対する信頼性を確認しますので、サービスを紹介したウェブサイトやカタログから直接確認できることが望ましいでしょう。
また、障害発生時の対応など、過去の実績についても情報を望む場合があります。
障害対応の実績や事例を公開することは、利用者の信頼や安心を生むことにつながる場合も多くあります。
事業に差し障りのない範囲で情報を開示することが望ましいでしょう。
3. セキュリティ対策
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
(11) クラウドサービスにおけるセキュリティ対策の具体的内容は公開されていますか?
多くの場合、クラウド事業者は自社のセキュリティ対策に関する解説をウェブサイトで公開しています。
年次報告書(情報セキュリティ報告書やCSR報告書の形を取るケースも多い)やセキュリティに関するホワイトペーパーを公表している場合もあります。
クラウドサービス利用における懸念事項のひとつにセキュリティ対策があります。
中小企業はクラウドサービスを提供するためのシステムの仕組みやその安全を確保する要素について十分な知識を持っていないため、セキュリティ上の安全性について自ら確認することができません。
第三者が提供するサービスを利用することや社外にデータを置くことに漠然たる不安を抱くケースが多いと考えられます。
システムやデータの安全性対策を示すことが安心につながります。
・開示が望まれる情報項目
・システム
・データ管理
・ネットワークと通信
・データセンター
・データセンターの運用
◇システム
・以下の適時適用等
・OSやアプリケーションのアップデート
・セキュリティ修正パッチやサービスパック
・システムの可用性・信頼性を確保するための対策
・多重化・冗長化
・サーバ
・ストレージ
・ネットワーク
・自動バックアップ
・その他
◇データ管理
・暗号化
・自動実施
・機能の提供
・クラウド事業者側でのバックアップ
・インターバル
・世代
・復旧方法
・保存期間
・その他
◇ネットワークと通信
・ウイルス・マルウェア感染への対策
・不正アクセスへの対策
・ネットワーク障害の対策
・障害や攻撃に対する以下の対策
・監視
・検知
・解析
・防御
・その他
◇データセンター
・防犯設備
・入退室管理
・災害対応
・監視体制
・二重化
・電源
・冷却設備
・予備電源の確保
・その他
◇データセンターの運用
・運転要員の信頼性確認
・モニタリング
・勤務状況
・作業内容
・システムへの権限管理
・アクセス権限
・管理者特権
・操作ログの管理
・その他
・開示の方法(案)
セキュリティ対策については、レベルなどの判断が難しいため、例示した項目については、実施しているかどうかを明確にしておけば良いでしょう。
詳細なセキュリティ対策を公開することは、攻撃を意図するものに情報を提供することになる可能性もあるため、そのような恐れのない範囲に限定するという判断も考えられます。
情報の開示については、ウェブサイトへの掲載や資料の作成・配布等が一般的方法と考えられます。
利用者に限定して提供する情報であれば、利用者専用の提供方法による開示や問い合わせベースでの対応でも良いでしょう。
ただし、これらの情報を利用者は自社内のセキュリティ管理に利用することがあるため、何らかの文書になっているとより利便性が高まるでしょう。
また、定期的な報告をすることも、利用者の安心を得るためのより良い手段だといえます。
利用者が自社のセキュリティ監査を行う場合の情報源となるような、情報セキュリティに関する報告書やホワイトペーパーなどを提供することも役に立つと考えられます。
少し長くなりましたので、『クラウド事業者による情報開示の参照ガイド』の説明の途中で終了して、続きは次回以降とします。
このガイドでは、クラウドサービスの利用が促進されるように、クラウド事業者側への情報開示を促しています。
このガイドに則した情報開示が行われて、多くの中小企業の方々にとって、以下の環境が整う事が、期待されています。
・クラウドを正しく安全に利用する
・IT利活用の効果を経営に活かす
・ITセキュリティのレベルアップを実現する
ITコーディネータは、以下の2つの資料を十分に理解して、経営者を支援できる人材であり続けなくてはなりません。
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題として、ITコーディネータを中心に、ITコーディネータ資格の変遷や、ITコーディネータのバイブルと言われるプロセスガイドラインの内容、ISACAが認定している資格の最新版が明らかになった段階で、順次お伝えして行きます。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/