リモートワークを取り入れる企業の間で、クラウドサービスの利用が増えています。一方、クラウドサービスのセキュリティに対して、漠然とした不安がある方も多いのではないでしょうか。
クラウドサービスを安心して利用するために、私たちはどのようなポイントに気をつけてサービスを見極めればよいのでしょうか。この記事では、セキュリティの視点からみたクラウドサービスを利用する上でのチェックポイントを、「クラウドサービス自体」と「社内でできること」の2つの視点でお伝えします。
クラウドサービスのセキュリティ、実際どうなの?
いつでもどこでも利用でき、かつ低コストで導入できるクラウドサービスですが、その便利さだけで判断するのは危険です。なぜなら、クラウドサービスでは、売上・顧客データ・会計情報・従業員情報など重要な情報を扱います。クラウドサービスを利用することで、便利さと費用面からビジネスに与えるメリットが大きいのは事実ですが、セキュリティリスクについては正しく理解しておかなければなりません。
クラウドサービスを提供する事業者をベンダーといい、ベンダーは一定水準のセキュリティを保証しています。日々高度になるサイバー攻撃などにも、セキュリティに対し膨大な投資を行ない、安全性を高めています。
一方、企業で独自にサーバーを設置する場合、専門知識や膨大な時間、管理担当者の人件費などがかかります。このような膨大なリソースを確保するのは、現実的になかなか手がまわらない・・・といった中小企業もあるでしょう。
自社で高度なセキュリティを築くことがむずかしいからこそ、徹底したセキュリティ対策を行なっているクラウドサービスを利用することで、低コストかつ一定水準以上のセキュリティ環境が実現します。
注意したいポイントは、ベンダーが提供しているセキュリティ対策だけでは安全とは言い切れない点です。なぜなら、利用者が情報を扱う際のポイントも存在するから。クラウドサービスのセキュリティ対策を正しく把握し、自社の責任も理解した上で、安心して導入できるようにしましょう。
クラウドサービスを選ぶときに確認しておくべきポイント5つ
ここからは実際にクラウドサービスを選ぶとき、必ずチェックしておきたい5つのポイントについて解説します。
1.ベンダーの確認
クラウドサービスの中でも、特にバックオフィスで使用するものは、売上・会計情報・個人情報・顧客情報など企業にとって重要な情報を扱います。そのため、常にセキュリティ対策のアップデートを行なっているベンダーを選ぶ必要があります。ベンダーがセキュリティ対策に投資できる企業体力を持っているのか、セキュリティに対する考え方はどうなのか、などが注意すべきポイントです。
あなたがいま検討しているサービス提供者(ベンダー)の以下の情報は必ず確認しましょう。
- 財務情報
- 情報セキュリティ方針
- セキュリティ関連の認証・認定制度の取得状況
- 個人情報保護法などの法律を遵守しているか
2.付帯するセキュリティ対策のチェック
ひとことで「セキュリティ対策」といっても、さまざまな種類の対策があります。重要情報を扱う通信の暗号化やウイルス対策、ログイン試行回数の制限、リスクベース認証、システムのバックアップ体制など、具体的な対策が行なわれているか確認しましょう。
3.利用者サポートの体制
クラウドサービスの使い方で、分からないことは必ずでてきます。どのようなサポート体制があるのか、あらかじめ確認しておきましょう。クラウドサービスによっては、チャットのみの対応、チャットもしくはメールのみの対応で、電話サポートは積極的に行なっていない場合もあります。
自社の従業員が利用しやすいサポート体制のクラウドサービスを選ぶことも、大切なポイントです。
4.データの保全・保護
利用者のデータが消えてしまったり、アクセスできなくなったりしないよう、様々な対策を行なっているクラウドサービスを選ぶようにしましょう。
クラウドサービス側のバックアップ体制も大切なチェックポイントですが、利用者自身もデータのインポート・エクスポートが簡単にできると、自社でデータの保管ができるので安心です。
また更新履歴がわかる仕組みになっていると、意図せず情報が更新されていた場合、原因の追跡をすることができます。
社内でも取り組むべきセキュリティ対策
クラウドサービスを利用する上で、もう1つ確認しておきたいのが社内のルールです。たとえば、クラウドサービスを利用するパソコンなどの端末上でのセキュリティの責任は利用者にあります。
では、企業が社内で取り組むことができるセキュリティ対策にはどのようなものがあるのでしょうか。
1. パスワード・ID管理を徹底する
パスワードやIDが誰でも見れる状態で保管されている、使い回しをするのはセキュリティ上、とても危険です。なりすましや不正ログイン防止のためにも、パスワードやIDは各自で管理するようにしましょう。複雑なパスワード・2段階認証も、有効な方法です。
2. 権限付与のルールを決めておく
企業の会計情報、従業員の給与情報など、誰でも見ることができる状態は望ましくないセンシティブな情報もあります。クラウドサービスを利用するにあたり、どの人にどこまでの閲覧・操作権限を与えるのか決めておくようにしましょう。
3. 利用するデバイスの操作制限・盗難対策
クラウドサービスはアプリから簡単にログインできるものも多く、操作端末の管理も正しく行わなければなりません。たとえば、ノートパソコンやタブレットなど、持ち歩く端末でクラウドサービスを利用する場合は紛失や盗難のリスクがあります。
使用を終えたら決められた場所で管理する、パスコードロックをかけるなど、社内ルールを統一しておきましょう。
4. 管理責任者を決める
具体的な社内のセキュリティ対策の方針・ルールを浸透させるためにも、社内にセキュリティ担当者が必要です。クラウドサービスの技術的な側面を理解した人が理想です。
5. 情報の重要度を周知する
「もし、何らかの理由で情報漏洩が起こったら、どれくらいの影響が出るのか」「万が一利用するサービスが停止した場合、業務にどんな影響が出るのか」を考え、クラウドサービスで扱う情報の重要度を理解しておきましょう。
情報の重要度が理解できれば、クラウドサービスに求めるセキュリティレベルも自然とみえてくるでしょう。
まとめ
ほとんどのクラウドサービスでは、サイバー攻撃などに対しきちんとセキュリティ対策がとられています。金融機関と同等レベルのセキュリティ対策がとられているクラウドサービスも多く、いまやクラウドサービスのセキュリティは強固なものだといえるでしょう。
しかし、いくらクラウドサービス自体のセキュリティがしっかりしていても、社内の運用ルールに穴があると、情報漏洩などトラブルにつながりかねません。
クラウドサービス自体とそれを利用する社内ルール、2つの視点でチェックし、重要な情報を守りましょう。
(提供:税理士法人M&Tグループ)