ITコーディネータと言う資格について その7

皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリストこと、ITコーディネータの元村憲一です。

「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。

 

ブログの第218回目は、このブログの本題になっている GEITについての続きです。

これまでほとんどは、ISACAの話題を中心にお伝えして来ましたが、第210回目からは、ISACAを離れて、日本のGEIT人材であるITコーディネータについて、お伝えしています。

 

【ITコーディネータ関連の環境変化の続き5】

ITコーディネータ制度は、経済産業省が、日本の競争力を回復する高度人材として、未来を見据えた構想の中で制度化した割には、10年以上経った現在でも、非常に認知度が低く、その活用も不十分な状態が続いています。

第213回から、この十数年の間に起こった、ITに関係する最大の環境変化の、オンプレミスからクラウドへの移行についてお伝えしています。

 

今回も引き続き、クラウドコンピューティング型のサービスを有効に利活用する方法について、説明します。

 

前回同様、中小企業向けとして、IPA(独立行政法人情報処理推進機構)のセキュリティセンターが、2011年4月25日に公表した、以下ページにある2つの資料で、説明して行きます。

・「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について

参照URL:

https://www.ipa.go.jp/security/cloud/tebiki_guide.html

 

 ・『中小企業のためのクラウドサービス安全利用の手引き』
 ・『クラウド事業者による情報開示の参照ガイド』

 

『中小企業のためのクラウドサービス安全利用の手引き』の続きをお伝えします。

 

・中小企業のためのクラウドサービス安全利用チェックシートとその説明

クラウドサービスの導入を検討する際には、以下の両面の立場から検討する必要があります。

 ・経営者や経営管理に携わる
 ・クラウド利用を実際に所管するIT担当

 

この資料には、最低限これだけは確認しておく事が望ましいと思われる項目が、以下の3つの領域に分けて整理されています。

 ・A クラウドサービスの利用範囲についての確認項目(4項目)
 ・B クラウドサービスの利用準備についての確認項目(4項目)
 ・C クラウドサービスの提供条件等についての確認項目(6項目)

 

3つの領域を付録のチェックシートで確認して、チェックが付かなかった項目に関しては、クラウドサービスの導入・利用に際して、セキュリティ等に関するリスクが発生する可能性があります。

チェックが付かなかった項目から生じるリスクについて、許容可能か(経営上、業務上、大きな支障が発生する恐れがないか)どうかを改めて検討します。

 

・C クラウドサービスの提供条件等についての確認項目

 (9)事業者の信頼性
 (10)サービスの信頼性
 (11)セキュリティ対策
 (12)利用者サポート
 (13)利用終了時のデータの確保
 (14)契約条件の確認

 

(9)事業者の信頼性

問:クラウドサービスを提供する事業者は、信頼できる事業者ですか?

そのサービスを提供するクラウド事業者について、以下を確認します。

 ・経営が安定して信頼できるか
 ・サービスの提供が長期間安定して行われるか

 

経営の評価は難しいですが、以下の様な項目が判断の参考になります。

 (ア)株式公開企業であるか
 (イ)何年業務を続けているか
 (ウ)利用者の数が多いか
 (エ)事故の情報がたびたび聞かれたりしないか
   万一の障害対応がきちんと行われているか
 (オ)そのサービスを、事業実績のあるシステムインテグレータやITの販売店が代理販売しているか
 (カ)対象のクラウドサービスが、大手クラウド事業者が提供するプラットフォーム上で提供されているか

 

(ア)株式公開企業であるか

株式公開企業は、経営状況について審査を受け、定期的に情報を公開しています。

 

(イ)何年業務を続けているか

長年事業が継続していれば、安定性、継続性の指標になります。

 

(ウ) 利用者の数が多いか

多くの人が利用している事は、信頼性が高い結果である可能性が高くなります。

どんなユーザがいるかが判れば、より参考になります。

そのクラウドサービスを実際に利用しているユーザと話す事が可能なら、以下の様な事について悪い評価はないか確認します。

 ・使い勝手
 ・投資効果
 ・障害の有無
 ・障害の対応

 

(エ)事故の情報がたびたび聞かれたりしないか、万一の障害対応がきちんと行われているか

 

(オ)そのサービスを、事業実績のあるシステムインテグレータやITの販売店が代理販売しているか

信用や実績のある事業者が推奨、再販しているサービスは、ある程度安心して利用できます。

 

(カ)対象のクラウドサービスが、大手クラウド事業者が提供するプラットフォーム上で提供されているか

コンピュータメーカや通信事業者も、クラウドサービスを提供しています。

その場合には、基盤となっているクラウドサービス部分のセキュリティや信頼性(可用性や攻撃等)への耐性は高いものと考えられます。

 

留意点:これらはあくまで参考情報であり、これらを満たしている事は必須でありません。
    また、これらの項目に適合しているからと言って、それだけで信頼できるとは限りません。

一方、新規参入で実績はないが、利用価値の高い新事業者・サービスも登場してくるので、それらをうまく安全に活用する視点も大事になります。

 

(10)サービスの信頼性

問:以下の様な項目のサービスレベルは、示されていますか?

 ・サービスの稼働率
 ・障害発生頻度
 ・障害時の回復目標時間

 

クラウドサービスは、メンテナンスや障害のために、予告して、あるいは突然止まることがあります。

その対策方針等は、SLA等の文書で示されている場合が大多数です。

 ※SLA(サービスレベルアグリーメント、またはサービスレベル契約書)

以下の事を確認しましょう。

 (ア)予告して停止する場合
 (イ)突然の障害等の連絡
 (ウ)稼働率保証として示されている
 (エ)稼働率保証以上のサービス停止
 (オ)現在のクラウドの情報を常時提供している

 

(ア)予告して停止する場合

以下を確認します。

 ・予告のリードタイムが十分であるか
 ・予告の方法として、確実に事前に知る事ができる方法が示されているか
 ・不都合が生じる恐れがないか

 

(イ)突然の障害等の連絡

予告や予測が困難な、クラウドサービス側のトラブルが発生した際の対応として、以下を確認します。

 ・クラウド事業者側からどのような方法で連絡をしてくるか
 ・トラブルが生じた場合には、速やかに通知が来る様になっているか

 

(ウ)稼働率保証として示されている

突然の障害等に対して、以下の項目などを総合して、稼働率保証として示されている事があります。

 ・その発生頻度の理論値や経験値
 ・障害でサービスが止まった場合の、復旧に要する見込み時間

 

稼働率保証の場合は、率の基礎となる計算単位が何か(通常、月単位)を確認します。

 ※年単位の場合は、0.1%の停止でも、理論的には8時間45分連続して停止する可能性もある事になります。

なお、この稼働率保証の事を簡略化して、SLAと呼び習わしている事もあります。

 

(エ)稼働率保証以上のサービス停止

稼働率保証は、通常、それ以上のサービス停止があった場合には、何らかの補償をしますという条件で示される事が一般的です。

 ※必ずしも示された稼働時間が保障されている訳ではない事が注意点です。

想定外の長時間の停止に備えて、(8)で確認したようなアーカイブによる備えをする事が望まれます。

 

(オ)現在のクラウドの情報を常時提供している

クラウド事業者によっては、ダッシュボードと呼ばれる画面等で、以下の様な現在のクラウドの情報を常時提供している場合があります。

 ・運転状況
 ・トラブルの状況

 

この様な事業者は、サービス稼動についての管理が充実していると期待でき、必要な時に随時運転状況を確認できるので安心です。

 

(11)セキュリティ対策

問:クラウドサービスにおけるセキュリティ対策が、具体的に公開されていますか?

多くの場合、クラウド事業者は、自社のセキュリティ対策に関する解説をウェブサイトで公開しています。

以下の様な形を取るケースも多い、年次報告書を公表している場合もあります。

 ・情報セキュリティ報告書
 ・CSR報告書
 ・セキュリティに関するホワイトペーパー(レポート)

 

以下のセキュリティ対策に関する項目について、クラウド事業者のウェブサイト等で説明されているかを確認します。

 (ア)システムに関するセキュリティ対策項目
 (イ)データ管理に関するセキュリティ対策項目
 (ウ)ネットワークと通信に関するセキュリティ対策項目
 (エ)データセンターに関するセキュリティ対策項目
 (オ)データセンターの運用に関するセキュリティ管理項目

 

(ア)システムに関するセキュリティ対策項目

 ・OSやアプリケーションについて、以下の適時適用
  ・アップデート
  ・セキュリティ修正パッチ
  ・サービスパック

 ・システムの可用性・信頼性を確保するための対策
  ・サーバやストレージやネットワークの多重化・冗長化
  ・自動バックアップ
  ・その他

 

(イ)データ管理に関するセキュリティ対策項目

 ・暗号化の自動実施、または暗号化機能の提供
 ・クラウド事業者側での自動バックアップ
  ・インターバル
  ・世代
  ・復旧方法
  ・保存期間
  ・その他

 

(ウ)ネットワークと通信に関するセキュリティ対策項目

 ・以下への対策
  ・ウイルス・マルウェア感染
  ・不正アクセス
  ・ネットワーク障害
  ・その他

 ・障害や攻撃に対する以下の様な対策
  ・監視
  ・検知
  ・解析
  ・防御

 

(エ)データセンターに関するセキュリティ対策項目

 ・以下の項目
  ・防犯設備
  ・入退室管理
  ・災害対応
  ・監視体制
  ・電源や冷却設備の二重化
  ・予備電源の確保
  ・その他

 

(オ)データセンターの運用に関するセキュリティ管理項目

 ・運転要員に対する項目
  ・信頼性確認
  ・勤務状況
  ・作業内容のモニタリング
  ・その他

 ・システムへの以下の様な管理
  ・アクセス権限
  ・管理者特権
  ・操作ログ

 

セキュリティに関しては、以下のものも含めて数多くあります。

 ・公的機関が定めている情報開示指針やサービスに関するガイドライン
 ・民間の情報セキュリティやデータの保護管理に関する基準類

これらに基づいて、以下の事が行われていれば、その事業者の信頼性やセキュリティ管理についても安心できる可能性が高くなります。

 ・運用管理
 ・情報開示
 ・認定や認証

 

これら指針等の例としては、次の様なものがあります。

 ・『SaaS向けSLAガイドライン』, 経済産業省
 ・『情報セキュリティ報告書モデル』, 経済産業省
 ・『クラウドサービス利用のための情報セキュリティマネジメントガイドライン』, 経済産業省
 ・『ASP・SaaSにおける情報セキュリティ対策ガイドライン』, 総務省
 ・『データセンターの安全・信頼性に係る情報開示指針』, 総務省
 ・『ISMS(情報セキュリティマネジメントシステム)適合性評価制度』, JIPDEC(一般社団法人日本情報経済社会推進協会)
 ・『ITSMS(ITサービスマネジメントシステム)適合性評価制度』, JIPDEC(一般社団法人日本情報経済社会推進協会)
 ・『プライバシーマーク制度』, JIPDEC(一般社団法人日本情報経済社会推進協会)
 ・『ASP・SaaS安全・信頼性に係る情報開示認定制度』, FMMC(一般社団法人マルチメディア振興センター)
 ・『PCI DSS(クレジットカード業界の国際情報セキュリティ基準)』
 ・『SAS70(米国監査基準書70号) TypeII監査』, 米国公認会計士協会
   (日本においては、日本公認会計士協会の定める18号監査による、『内部統制に関わる監査報告』)

 

(12)利用者サポート

問:サービスの使い方がわからない時の以下の様な支援は、提供されていますか?

 ・ヘルプデスク
 ・FAQ

 

ユーザ支援のための施策として、以下の様なものがあります。

 ・ウェブサイトに公開された、よくある質問集(FAQ)
 ・動画等を用いた取扱説明
 ・使い方に関する質問を受け付けてくれるヘルプデスク(カスタマー窓口)

 

これらのユーザサポート施策が、充実していて安心できるか確認します。

ユーザサポート窓口については、以下を確認します。

 ・連絡方法・連絡先
 ・受付時間
 ・料金

 

◇連絡方法・連絡先

以下の様な手段が提供されている事を確認します。

 ・電話
 ・メール
 ・その他

 

◇受付時間

以下を検討します。

 ・自社の利用パターンと合致するか
 ・業務時間外に連絡が必要となるか

 

◇料金

以下を確認します。

 ・問合せが月額料金に含まれているか
 ・追加で料金が必要か

 

一度ためしに連絡して、対応を確認してみても良いでしょう。

 

(13)利用終了時のデータの確保

問:サービスの利用が終了した時の、データの取扱い条件は明確ですか?

クラウドサービスの利用を何らかの理由で終了する場合には、以下の様な事が必要になります。

 ・クラウドに預けてあったデータを自社内のシステムに戻す
 ・他のサービス事業者に預け直す
 ・そのサービス(業務)をやめる

 

この作業がスムーズに支障なく行われるためには、次の事項について確認が必要です。

 ・データが必要なタイミングで返却されるか
 ・データが返却される場合のデータのフォーマットは、明確か
 ・クラウドのシステム上に残るデータの扱いは、明確か

 

◇データが必要なタイミングで返却されるか

そのサービス(業務)の継続に支障をきたさないために、以下の確認が必要です。

 ・必要なタイミングでアーカイブの引き渡し
 ・随時ローカルコピーが可能か
 ・そのスピードはデータ量に比して十分高速か

 

◇データが返却される場合のデータのフォーマットは、明確か

以下の事を確認します。

 ・他のシステムとの互換性が確保されているか
 ・フォーマットの定義が明示されて変換が可能か

 

◇クラウドのシステム上に残るデータの扱いは、明確か

利用が終了し、データが返却された後で、クラウドのシステム上に残るデータについて、以下の事が必要です。

 ・確実に消去される
 ・第三者による再利用や悪用が起こらないよう対策されている

 

(14)契約条件の確認

問:一般的契約条件の各項目について、確認しましたか?

クラウドサービスの利用に際しては、通常、以下の様にオンラインでの契約となっています。

サービスを提供するウェブサイトに利用のための契約約款が表示され、「同意します」ボタンをクリックする事で、契約が成立する構造になっています。

書面による契約と同じ効力を持つので、「同意します」ボタンをクリックする前に、契約条件を十分に確認しておきます。

一般に、その取引の内容を規定する部分以外にも、以下のような注意すべき項目があります。

 ・利用価格の体系や適用条件
 ・価格の変更に関する規定
 ・サービスの変更に関する規定
 ・守秘義務
 ・損害賠償規定
 ・契約の満期終了と更新に関する規定
 ・契約の解除に関する規定
 ・契約の終了・解除に伴う処理等の規定

 

◇利用価格の体系や適用条件

 

◇価格の変更に関する規定
 ・通知期間
 ・通知方法
 ・不同意の場合の処理
 ・その他

 

◇サービスの変更に関する規定
 ・内容
 ・方法
 ・通知期間
 ・通知方法
 ・不同意の場合の処理
 ・その他

 

◇守秘義務
 ・ベンダ側
 ・ユーザ側
 ・双方同等

 ※ベンダ側のユーザ情報に関する守秘義務やユーザ側の義務について注意が必要です。

 

◇損害賠償規定

以下に対する賠償規定があるか、それは十分かの確認が必要です。

 ・ベンダ側の原因でデータが失われた場合
 ・サービス障害の波及損害

 

◇契約の満期終了と更新に関する規定
 ・契約期間は、自動更新規定があるか
 ・更新しない場合の通知期間・通知方法等
 ・更新する場合の通知期間・通知方法等

 

◇契約の解除に関する規定
 ・ベンダ側が一方的に解除できる条件でないか
 ・ユーザ側が解除する場合のペナルティ等はないか
 ・その他

 

◇契約の終了・解除に伴う処理等の規定
 ・終了時のベンダの義務、ユーザの権利が規定されているか
 ・それ(規定)は妥当か
 ・終了時のデータの返還
 ・返還後にクラウド上のデータを完全消去する事等が明記されているか
 ・その他

 

以上で、チェックリストの説明を終え、『中小企業のためのクラウドサービス安全利用の手引き』については、終了とします。

 

この手引では、クラウドの利用についての判断やその条件の確認、注意点の点検等が、比較的容易にできるように、平易な解説やチェック項目が整理されています。

この手引を良く理解して、活用する事で、多くの中小企業の方々が、クラウドを正しく安全に利用し、IT利活用の効果を経営に活かし、またITセキュリティのレベルアップを実現する事が期待されています。

 

この資料の中にも、相談相手として指定されていた様に、ITコーディネータは、大きく変化した環境に即応可能な人材として、常に知識を更新して、それを実践に活かし、スキルを向上して、経営者に役立つ人材であり続けなくてはなりません。

 

この続きは、もう片方の資料である『クラウド事業者による情報開示の参照ガイド』について、お伝えして行きます。

その後で、ITコーディネータ資格の変遷や、ITコーディネータのバイブルと言われるプロセスガイドラインの内容についても紹介して行きます。

 

最後まで、お付き合いくださいまして、ありがとうございます。

次回以降も、本題のGEITの話題として、ITコーディネータを中心に、ISACAが認定している資格の最新版が明らかになった段階で、順次お伝えして行きます。

 

皆さまからの、ご意見・ご感想をお待ちしております。

 

この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。

 

【資格】
・ITコーディネータ
・公認情報システム監査人
 Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
 Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
 Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)

 

■Facebook
https://www.facebook.com/kenichi.motomura.1/

■公式ブログ
https://blog.kazatsukuri.jp/

■Ameblo
https://ameblo.jp/motomuranet/

■Twitter
https://twitter.com/motomuranet/

■YouTube
https://www.youtube.com/user/motomuranet/

■まぐまぐ
https://www.mag2.com/m/0001626008.html

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*