SaaS利用者/事業者が知っておくべきクラウドセキュリティの確かめ方と高め方 —第4回 クラウドサービス利用者におけるクラウドセキュリティの確かめ方

投稿日:

今回は、クラウドサービス利用者としての立場から、どのようにクラウドサービスのセキュリティを確かめていけば良いのかを検討します。

こちらについては、本連載の第2回「クラウドセキュリティの考え方」において、以下のような整理を試みました。

そこで今回はこの「組織の観点」「個人の観点」の2つを深掘りして検討します。

組織の観点:クラウドサービス一般を管理するための仕組み

総論:仕組みの必要性

「クラウドサービス一般を管理するための仕組み」については、従前からセキュリティ文脈で「シャドーIT」という言葉とともにその必要性が主張されてきました。また近年では、令和2年改正個人情報保護法への対応でも同様の仕組みが必要であることが明確になりました。まずは、この点をそれぞれご説明します。

セキュリティ文脈

シャドーITとは、「組織側が把握せずに従業員または部門が業務に利用しているデバイス機器やクラウドサービス」(ニューノーマルにおけるテレワークと IT サプライチェーンのセキュリティ実態調査。以下、IPA実態調査という。)のことをいいます。

このIPA実態調査では、「テレワークへの急速な移行に伴い、取引先に影響を及ぼしうる内部不正 (秘密の不正持ち出し、シャドーIT 利用等)が増えるのではないか」との仮説の下、各種の調査結果がまとめられています。

シャドーITは組織側の統制が及ばないため対策が不足しやすく、過失による情報漏えいリスクが高まります。また、故意によるケースとしては、従業員による不正利用や退職後の情報持出しがあります。

実際に2021年には医師など専門家が個人のクラウドサービスに情報を保存し、過失により当該情報が漏えいするというニュースも複数続きました。また直近では、(再)委託先の従業員が個人アカウントのクラウドサービスに情報をアップロードしていたというニュースも報道されました。

個人情報保護文脈

続いて個人情報保護文脈では、令和2年の個人情報保護法改正があります。

詳細は第2回で既にご説明したので割愛しますが、クラウドサービス利用者はクラウドサービス事業者の運営するサーバに個人データを保存する場合、まずこれらのクラウドサービスを網羅的に捕捉した上で

を把握・管理する必要があります。網羅的にこの把握・管理を行うことはなかなか大変そうだということは想像できます。

各社のSaaS管理サービス

シャドーITに対応するための製品として、従来からCASB(Cloud Access Security Broker。キャスビーと発音します)という類型の製品が展開されてきました。また、最近では2021年夏頃から国内で

のようなサービスの発表も続きました。

これらが令和2年改正個人情報保護法まで見据えてリリースされたのかは不明です(恐らく違うと思います)が、担当者個人による手作業での管理はいずれ限界が来ます。私は両サービスについて詳細を理解する立場にはありませんが、コンセプト的には必要なサービスが必要なタイミングで出てきたなと感じています。

各論:仕組みの構築に向けてすべきこと

仕組みの必要性が確認できたところで、続いて仕組みを根付かせる上で必要なことを検討していきます。

公然の秘密

まず、前提として個人情報保護法上の「個人情報」の定義をしっかり社内に周知する必要があります。私は「殆どの従業員が個人情報の定義を正しく理解していない」という公然の秘密を、そろそろ皆で真正面から受け止める必要があると考えています。法務の人でさえ、誤解しているケースはそれなりに多い印象です。

「個人情報とは特定部分を指すのではなく、そのまとまりを指すんですよ」「うちの会社で言えば、ユーザーIDに紐づいている情報は基本的に全て個人情報ですよ」ということを定期的に説明しましょう。実務上「特定の部分が単独で個人情報に該当するか否か」という議論が意味のあるケースはそれほど多くありません。「それじゃあ企業内にある情報なんて殆ど個人情報じゃないですか。」「その通りです。だからそれらが全て個人情報に当たることを前提に、リスクに応じた対応を検討しましょう。」という会話までがワンセットだと思っています。

実際、2020年には、インシデントの発生時に有力なインターネットサービス企業から「一般的なIPアドレスから、個人情報を特定することはできません。」といったリリースが出されて議論を呼んだ事がありました。個人情報の定義が各人によって区々だと、各人がそれぞれ自分の信じる「個人情報」の定義に基づいてレポーティングを行います。このような状況ではインシデント発生時に会話が噛み合わないため、事実確認が正しく行えず本当に困ります。

インシデント発生時のコミュニケーションは第5回で検討したいと思いますが、インシデント発生時には社内で行うべきことが山積みの中、官公庁・メディア・ユーザーから様々なご意見・要求をシビアなタイムリミット付きでいただくことになります。繰り返しになりますが、個人情報の定義の再確認は平時のうちに対応しておくことをお勧めします。

この対応を行う上で、参考になりそうなTipsをいくつかご紹介します。

個人情報の定義を正しく認識してもらうための作業は、相手の誤解を解くことから始めなければなりません。そのため相手からは「そのような個人情報の定義には納得ができない」という反論を受けることがよくあります。私は「日常用語の個人情報」「法律用語の個人情報」などといった表現を便宜的に用いて説明することで、相手の持っている個人情報の定義を尊重しつつ、それは日常用語としての使い方であって法律上(個人情報保護法上)の定義とは違うのだという説明をすることがあります。

また、個人情報に当たらない情報の具体例をきちんと説明することも有用です。ここでのアンチパターンは、「単体では個人情報に当たらない可能性が高いが、通常企業ではユーザーIDに紐付けて管理されている情報」を非個人情報の例として提示してしまうことです。これをするから個人情報の定義についての誤解が広がるのだと思います。例えば相手が技術系の方であれば特定のサーバのメモリ使用率など、明確に個人情報でないものを例示しましょう。

クラウドサービスの捕捉

次に、利用するクラウドサービスの捕捉方法です。ここは私も日々試行錯誤をしながら対応しているところですが、

  1. 原則ルート
    • 次回以降で詳細をご説明する、日常的なPIA(Privacy Impact Assessment)活動によるSaaS利用前の事前相談
    • PIA活動を通じた必要な情報(法的根拠、渡すデータ項目、所在国など)の整理
  2. 例外ルート
    • 「各社のSaaS管理サービス」でご紹介したようなサービス等による、機械的・事後的なモレの捕捉
    • 捕捉したモレについての事後的なPIA活動の実施、必要な情報の整理

というサイクルを回しながら対応しています。

将来的にSaaS管理サービスで網羅的・機械的に管理できることが理想ではありますが、2まで話が進んでしまうと、事業側では当該クラウドサービスを利用することを前提に各種取組が進行していることが大半で、現状追認的な対応を一定程度取らざるをえません。

1で述べたPIAは「事前の法務相談」と捉えれば、多くの会社で一定程度行なっているのではないでしょうか。1で全てを捕捉することは難しいですが、なるべく事前相談を受けて計画段階から関与できるようにしたい所です。事前相談を仕組みとして根付かせるためには

などが重要だと考えています。この点、連載第5回で検討していきます。

クラウドサービスの評価

その上で、利用するクラウドサービスの評価を行う必要があります。評価の具体的な方法としては、連載第3回でご紹介した通り以下の方法がありえます。

① セキュリティ認証の取得・公開
② クラウドサービス利用者から送付されるチェックシートへのクラウドサービス事業者による回答
③ クラウドサービス事業者自ら公開するホワイトペーパー・チェックシートの利用者による検証

私として③に期待していることは第3回で述べた通りですが、現実問題として②のチェックシートにより対応しなければならない場合も多いでしょう。ここで提案したいことは、各質問事項が想定しているリスクシナリオを「自社が」「当該クラウドサービスを利用する」ケースについて具体化して考えてみることです。

例えばいわゆるeKYC系のサービスで、個人の証明書を読み取って記載内容を文字に起こすようなシーンを想定してみます。このサービスにおける文字起こし作業が

で検討すべきリスクは大きく異なるはずです。

チェックシートのフォーマットは効率化の為に統一的なものを使う事が多いと思いますが、少なくとも脳内ではこの具体化を試みましょう。そうでなければセキュリティチェックシートがただの事務作業に終わってしまい、リスク受容や代替措置の検討もできません。具体化をする上では、総務省ガイドラインの各要件に記載されている​【目的】​や【ベストプラクティス】などは参考になると思います。

例えば上記の文字起こしの例でマニュアル作業が一定程度想定されるのであれば、「Ⅳ.4.4.建物の情報セキュリティ対策」に列挙されている物理的なセキュリティ対策群は一読の価値があるでしょう。

個人の観点:クラウドサービスのセキュリティを理解するための知識

ここでは本連載の想定読者を踏まえ、非技術者がどのようにセキュリティを勉強していけば良いかについて検討します。私自身、法学部・ロースクール・司法研修所を経て、社会に出てからセキュリティ・プライバシーの仕事につき、仕事と両立させる形で勉強をしてきました。

そこでの経験を踏まえ、総論的なモチベーション維持の方法と、各論的なブックガイドについてお話しします。

総論:モチベーション維持

非技術者である社会人がセキュリティを学ぶ上で、一番重要なものは何でしょうか。私はモチベーションだと考えています。日々の業務の中で他にもやるべきことは多くあり、本業の領域でも学ばなければいけないことが多くある中では、自分をうまく騙しながらモチベーションを継続的に維持していく必要があります。

ここでは、非技術者である社会人として私がモチベーションを維持する上で役立った方法を3つをご紹介します。

① 資格
② ニュース
③ 音声コンテンツ

まずは①資格です。セキュリティは他の分野に比べて資格が豊富にあります。「基礎となる最低限の知識」とは何かを知る、そして実際にそれを得る方法として適切な資格試験の勉強は良い方法だと考えます。専門外の分野の資格を持つことで越境的な仕事にも自信を持って手を挙げやすくなりますし、周りとしてもその人に仕事を任せやすくなります。私は、専門外の領域に手を出すときこそ資格を活用すべきだと考えています。

まずは手頃な資格試験として、IPAの情報セキュリティマネジメント試験はいかがでしょうか。これは技術者向けの試験ではなく、「業種、職種を問わず、また、営業・企画・製造・総務・人事・経理などの部門を問わず」実施しているものです。令和2年度よりCBT方式で実施しています。

続いて②ニュースです。あるいは炎上と言い換えても良いかもしれません。セキュリティや個人情報の領域では、毎年その年を表すような大きなニュースが発生します。今年で言えば、やはり個人情報保護法第二十四条(外国にある第三者への提供の制限)についての一連の報道と個人情報保護委員会からの指導でしょうか。

ニュースになるような案件は実在する企業で現在発生していることであり、色々な場で多くの人が問題提起を行います。①資格の勉強ができていれば、その問題提起もある程度理解ができる状態になっています。そこでの学びは自社での改善活動にもつながるので、ニュース起点の学習は効果的であると考えます。

そして最後に③音声コンテンツです。以前であればconnpassDoorkeeperといったサイトで紹介されているエンジニア向けのオフライン勉強会を積極的におすすめしていました。こういう場に顔を出すことで擬似的にエンジニアの会話に参加することができ、同じ目線で議論に参加することができます。

また付随的なメリットとして、こういう場に非エンジニアが顔を出すと面白がって面倒を見てくれる奇特な方がよくおられました。そういう方は複数のコミュニティでハブになっていることも多く、ネットワークを広げて下さることもありました。

ただ、昨今の状況を踏まえるとオフライン勉強会への積極的な参加というのも難しいですよね。私は最近代替手段として、オンラインの勉強会などに加えてPodcastを聞くことも増えています。ご参考までに、私が好きで聞いているPodcastをご紹介します。

各論:ブックガイド

続いて、知識を得るための各論的な話をします。法律書においては『法務パーソンのためのブックガイド「法律書マンダラ2021」』という素晴らしいブックガイドがあります。当初はこれをもじって…

非技術者のためのブックガイド「技術書マンダラ2021」

みたいなことができれば面白いな。。。と考えていたのですが、ちょっと私の構成能力と紙幅が足りなさそうです。少し駆け足になりますが、基礎編とクラウドサービス編に分けて、非技術者である私が読んで参考になった技術書(入門書)、ガイドライン類をご紹介したいと思います。上から順番に進んでいくようなイメージで記述します。当時私が読んだ本がベースになっているので、お勧めの本があればぜひ教えてください。

基礎編

クラウドサービス編

終わりに

今回はクラウドサービス利用者の視点から、クラウドサービスのセキュリティを確かめるために必要なことを、要素に分解しながら検討しました。次回は反対に、クラウドサービス事業者の視点から実施すべきことについて検討します。

参考文献

連載記事一覧

著者紹介

世古 修平(せこ しゅうへい)
インハウスハブ東京法律事務所、インターネットサービス企業 Privacy Counsel、IPA独立行政法人 情報処理推進機構 試験委員。
弁護士(第二東京弁護士会)、CISSP。
Twitter: @seko_law

契約のデジタル化に関するお役立ち資料はこちら