カブクコネクト

中小企業のDX クラウド導入、IT導入のポイント 第2回 クラウド利用の情報セキュリティ

税理士法人あすなろの税理士 菅沼先生に、中小企業がDX(デジタルトランスフォーメーション)を実現するにはどのように取り組みを行えばよいか、ポイントなどの解説を全3回に渡り連載いただきます。

今回は『クラウド利用の情報セキュリティ』について、クラウドサービスを導入する際の注意点となる情報セキュリティに焦点を当て解説いただきます。

 

クラウドサービスとは

クラウドサービスは、従来は利用者が手元のコンピュータで利用していたデータやソフトウェアを、インターネット等のネットワーク経由で、サービスとして利用者に提供するものです。利用者側が最低限の環境(パーソナルコンピュータや携帯情報端末などのクライアント、その上で動くWebブラウザ、インターネット接続環境など)を用意することで、どの端末からでも、さまざまなサービスを利用することができます。

クラウドサービス(特に、以下の分類でいうIaaS)では、主に仮想化技術が使われています。仮想化技術とは、実際に存在する1台のコンピュータ上に、ソフトウェアの働きにより、何台もの仮想のコンピュータがあるかのような働きをさせることができる技術で、複数台のコンピュータをあたかも1台であるかのように利用することもできます。この技術により、利用者は、クラウドサービス事業者が保有するコンピュータの処理能力を、柔軟に必要な分だけ利用することができます。利用者から見て、インターネットの先にある自分が利用しているコンピュータの形態が実際にどうなっているのか見えづらいことを、図で雲のかたまりのように表現したことから、「cloud=雲」という名称がついたと言われています。

クラウドサービスは、主に以下の3つに分類されています。

 

SaaS(サース、サーズ:Software as a Service)

インターネット経由での、電子メール、グループウェア、顧客管理、財務会計などのソフトウェア機能の提供を行うサービス。以前は、ASP(Application Service Provider)などと呼ばれていました。

 

PaaS(パース:Platform as a Service)

インターネット経由での、仮想化されたアプリケーションサーバやデータベースなどアプリケーション実行用のプラットフォーム機能の提供を行うサービス。

 

IaaS(アイアース、イアース:Infrastructure as a Service)

インターネット経由で、デスクトップ仮想化や共有ディスクなど、ハードウェアやインフラ機能の提供を行うサービス。HaaS(Hardware as a Service)と呼ばれることもあります。

 

図1 クラウドサービスの3形態 ※1

 

クラウドサービスは、企業が情報資産を管理する手段として急速に普及しています。また、個人が利用するインターネット上のさまざまなサービスが、意識するかどうかにかかわらず、クラウドサービス上で稼働するようになっています。

クラウドサービスを利用する場合には、データがクラウドサービス事業者側のサーバに保管されているということ、インターネットを介してデータなどがやりとりされることなどから、十分な情報セキュリティ対策が施されたクラウドサービスの選択が重要であるということを理解した上で利用することが大切です。

これまで利用者はコンピュータのハードウェア、ソフトウェア、データなどを、自身で保有・管理し利用していましたが、クラウドサービスを利用することで、これまで機材の購入やシステムの構築、管理などに要していたさまざまな費用や時間の削減をはじめとして、業務の効率化やコストダウンを図れるという利点があります。

図2 クラウドサービスを利用する企業は増加傾向 ※1

 

クラウドの情報セキュリティ

クラウドサービス利用には、上述のような利点がありますが、コンピュータを自らが管理しないことによる制約や、自らの管理範囲外に置く・社外に預ける不安や制約等があり、また、クラウドサービス事業者からの顧客データの流出や、個人情報の流出などの事故も発生しています。

図3 クラウドサービスの事故事例 ※1

 

このため、クラウドサービスの利用者は、クラウドサービス事業者と役割・責任を分担し、対策を実施することでこのような事故を防止し、クラウド利用にあたっての利用者の役割・責任を認識してサービスを活用することが必要となります。

クラウドサービスを安全に利用するための留意事項やチェック項目を記した資料として、IPA(独立行政法人情報処理推進機構)が発行している「中小企業のためのクラウドサービス安全利用の手引き」があり、同手引きに記載されている「クラウドサービス安全利用チェックシート」を活用して、クラウドサービスの選択時、運用時、セキュリティ管理のポイントについて理解しておくとよいでしょう。

図4 クラウドサービス安全利用の手引き ※2

 

クラウドサービス安全利用チェックシートは、クラウドサービスを選択するときの確認ポイント(6項目)、運用するときの確認ポイント(4項目)、セキュリティ管理のポイント(5項目)から構成されており、まず、選択する際に何を使うか・どんな情報を扱うか、サービス利用者は信頼できるかについて確認し、運用する際には、誰がどのように使い、管理するか、誰が責任を持つのかについて確認します。また、利用に際して情報漏洩等の事故を防止するため、事業者のセキュリティ対策やサポート体制についてやデータ保存先はどこの地域にあるか等について確認します。

クラウドサービス利用にあたっては、これまでのパッケージソフトや独自に構築していたサービスや業務システムを利用する場合と比較すると、その特性に応じた情報セキュリティ対策が要求されます。

特に注意すべき点は、インターネット回線を利用するということ、自社のサーバ室ではなくサービスの提供者が管理するデータセンターにサーバを保管するということ、クラウドサービス事業者側に運用やデータ管理を依存するということで、これらは利用者にとって情報システムの保守、運用、管理に関する負担が軽減されるなどの利点がある一方で、情報セキュリティ対策をサービス事業者に大きく依存することになります。

クラウドサービス事業者の情報セキュリティ対策については、総務省が以前から「クラウドサービス提供における情報セキュリティ対策ガイドライン」を公表しており、今年9月30日にパブリックコメントを経て「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」を公表していますので、そちらも参考にするとよいでしょう。※3

 

テレワークの情報セキュリティ

新型コロナウイルスの拡大については当面収束していますが、新型コロナウイルスの拡大により働き方改革の一つとして促進することが唱えられていた企業のテレワークが拡大しています。

内閣府が今年11月1日に公開した「第4回 新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査」によると2019年12月と比較して全国で約3倍にテレワークの実施が増加しています。

図5 地域別・企業規模別テレワーク実施率 ※4

 

テレワークでは、クラウドサービスの利用も多くなっており、「テレワークを導入したが、セキュリティ対策が後回しとなってしまっている。このままで本当に大丈夫なのだろうか。」「今後も見据え本格的にテレワークを開始したいが、導入するにあたり何に気を付けたらよいのかよくわからない。」等の不安が聞かれることも多くなっています。

総務省では、企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用するための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」を策定・公表しており、今年5月に第5版が公表されています。

また、セキュリティの専任担当がいないような中小企業等におけるシステム管理担当者(専門用語について仕組みの詳細まではわからないが、利用シーンがイメージできるレベルの方)を対象として、テレワークを実施する際に最低限のセキュリティを確実に確保してもらうための手引き(チェックリスト)も作成・公表していますので、クラウドサービス利用のセキュリティと併せて確認しておくとよいでしょう。

図6 総務省 テレワークセキュリティガイドライン ※5

 

 

※1 IPA 中小企業がクラウドサービスを選定する際に留意すべきことは?
https://www.ipa.go.jp/files/000073867.pdf
※2 クラウドサービス安全利用の手引き
https://www.ipa.go.jp/files/000072150.pdf
※3 総務省 クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
https://www.soumu.go.jp/main_content/000771515.pdf
※4 内閣府 第4回 新型コロナウイルス感染症の影響下における生活意識・行動の変化に関する調査
https://www5.cao.go.jp/keizai2/wellbeing/covid/pdf/result4_covid.pdf
※5 総務省 テレワークセキュリティガイドライン
https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/

 

ウェビナーを開催しています!

本記事の例題を解説する無料オンラインセミナーを開催しております。
記事の中での分からなかった箇所等を直接ご質問いただける時間も設けております。どなた様も無料でご参加いただけますので、ぜひお気軽にお申し込みください。
5分でカンタンお申し込み
無料セミナーに参加する

 

 

税理士法人あすなろ 菅沼 俊広

税理士業務の他ITコーディネータ等多数の資格を活用して民間企業・地方公共団体のIT調達、
情報セキュリティ対策、BCP体制構築支援業務に従事。

略歴
平成20年 税理士法人あすなろ設立 代表
平成20年 経済産業省J-SaaS普及指導員
平成25年 経済産業省経営革新等認定支援機関
平成27年 ITコーディネータ協会マイナンバー導入支援者育成研修WG委員会委員長
平成28年 IPA 中小企業の情報セキュリティ普及に関する委員会ガイドライン検討WG委員
令和元年 日本税理士会連合会コロナ対策相談室 委員
令和3年  東京税理士会デジタル化委員会 委員

「ビジュアル解説ITコーディネータテキスト(日本経済新聞社)」(共著)
わかりやすい IT導入・活用と税務-業務・業種・機材別 取引先・顧問先対応マニュアル-(新日本法規出版)(共著)

 

最短5秒で見積もり、発注