クラウドセキュリティのガイドラインとは？ 国のガイドラインを解説

クラウドサービスが登場したばかりの頃は、セキュリティ対策のポイントでもあるサービスの設定や運用について、ルールを理解していない利用者も多かったと推測されます。そのような背景があり、悪意を持つ第三者による不正アクセスやサイバー攻撃が増加してしまい、それらによって情報漏洩やネットワークの遅延といった、さまざまな問題や事故が頻繁に発生するようになりました。

そこで、国は2011年4月、クラウドサービスの運用ルールなどを明確に定めた、「クラウドセキュリティガイドライン（正式名称：クラウドサービス利用のための情報セキュリティマネジメントガイドライン）」を発表。国内では多くの企業や自治体でクラウドサービスの導入が進み、不可欠なものとなりました。その後、利用者の増加や利用するサービスの国際化などにより、再び大規模なセキュリティトラブルが発生するようになったため、2014年3月にガイドラインを改定し、より時代に即した内容にブラッシュアップしました。

そして2023年の時点では、提供者向けと利用者・提供者双方向けの2つのガイドラインがクラウドサービス運用のセキュリティの基準となっています。提供者向けには、「クラウドサービス提供における情報セキュリティ対策ガイドライン」が策定され、利用者・提供者双方向けには「クラウドサービス利用・提供における適切な設定のためのガイドライン」が用意されています。

クラウドサービスの提供者に向けたガイドラインは、「クラウドサービス提供における情報セキュリティ対策ガイドライン」です。このガイドラインが初めて策定されたのは2014年です。その後、2018年7月に当初のガイドラインに、IoTサービスを提供するクラウドサービスのリスクへの対応を考慮した内容を追加したものが第2版として公開されました。さらに、昨今のクラウドサービスを取り巻く環境変化を考慮し、2021年9月に第3版に改定されています。2023年2月の時点では、この第3版が最新のガイドラインです。ガイドラインの内容や第3版改定のポイントなどについて解説します。

ガイドラインの内容

このガイドラインでは、クラウドサービスを提供する事業者が、提供を進めていくに際して生じるトラブルや対策について記載しています。具体的には、取り扱うクラウドサービスの種類やデータといった特徴に応じたセキュリティリスクと、その対策について解説されています。

対象となる提供事業者は、大手企業だけでなく中小企業なども対象です。さらに、一般の民間事業者だけでなく地方公共団体なども含まれます。実際にセキュリティガイドラインを利用する際には、企業や組織の経営規模やリソースなどを考慮した上で、適したセキュリティ対策を講じることが効果的だとされています。

第3版改定のポイント

第3版改定のポイントは3つあります。

1つ目は、それぞれ領域が異なるSaaSと、PaaS・IaaSとで、それぞれのクラウドサービスにおけるセキュリティ対策やどこまでの責任を誰が持つかの仕分けです。例えば、全領域で共通に求められるセキュリティ対策が記載され、それに加え、エンドユーザ向けのクラウドサービスであるSaaSを提供する事業者に向けたセキュリティ対策や、開発者向けのプラットフォームなどを指すPaaS・IaaSを提供する事業者に必要なセキュリティ対策などについて解説されています。そのほかにIoTサービスのリスクへの対応方針などにもふれています。

2つ目は、グローバル基準との整合性です。クラウドセキュリティにおける国際的な基準・規格でありガイドラインでもある、「ISO/IEC 27017:2015」やNIST（米国立標準技術研究所）の「SP 800-53 Rev. 5」を参考にしています。

3つ目は構成の見直しです。より多くの利用者が簡単に読み進むことができ、実際の業務で活用できるよう、全体共通の対策とSaaS、PaaS、IaaSごとの対策を分けて記載し、これらの領域に応じた資料を用意するなど構成を刷新しています。

クラウドサービスの提供者のみならず、利用者に対してもクラウドサービスのセキュリティ対策を解説しているのが「クラウドサービス利用・提供における適切な設定のためのガイドライン」です。策定の背景や内容を紹介します。

策定された背景

「クラウドサービス利用・提供における適切な設定のためのガイドライン」は、提供者向けのガイドラインである「クラウドサービス提供における情報セキュリティ対策ガイドライン」の第3版をベースに、2022年10月に策定されました。背景には多くの企業や自治体が主要システムをオンプレミスからクラウドに移行するのが一般的となったことが挙げられます。

また、新型コロナウイルス感染症拡大の影響による、働く環境の変化も大きな要因です。これまで、多くのビジネスパーソンはオフィスに出社して仕事をしていました。ところがコロナ禍が長引くにつれ、出社することなく自宅にいながら仕事をすることが当たり前となり、場合によっては私物のパソコンで仕事をする機会も増えています。

このような状況では利用者の対応が重要となります。例えば、クラウドサービスの提供事業者が、SaaSの機能変更を行った場合に、利用者が必要な設定変更を行わないとセキュリティレベルが下がってしまいます。利用者も適切に対応しないと不正アクセスなどの被害につながってしまうのです。

ガイドラインの内容

ガイドラインはクラウドサービスの設定や管理に特化した内容となっており、設定方法などについても記載があります。作業規則やマニュアル作成、人材育成といった組織の整備についてもふれています。

サービス利用者と提供者のそれぞれが対応すべき対策を分けて紹介しているのも特徴です。利用者に対しては、組織体制整備や人材育成、作業規則やマニュアルの整備、クラウドサービスにおけるシステム動作環境の設定管理などについて解説しています。また、このガイドラインが想定する利用者は、個人のエンドユーザのみならず、企業内や自治体などの組織での担当者も含め、クラウドサービスでの業務に従事する方など広い範囲を対象としています。

提供者の対策としては、提供者の内部での対策と、提供したサービスの利用者への支援とに分かれます。内部での対策は、組織体制整備や人材育成などに加え、セルフチェック機能の追加や利用者における設定機会の削減などによる、設定ミスが生じづらいシステムへの改善です。利用者への支援については、情報や学習機会、支援ツールの提供などについて解説しています。