近年、多くのクラウドサービスが、世の中に登場しています。
ストレージサービスやグループウェア、チャットツールなどのクラウドサービスを利用することで、場所を選ばず、いつでもどこからでも仕事を行うことができます。また、自社でシステムを所有する必要がなくなるため、本業に集中して業務を行うことが可能です。
しかし、中には、「自社の情報を、クラウドサービスに預けるのは、なんとなく怖い…」と言った理由で、クラウド利用をためらっている会社も多いでしょう。
現場はクラウドサービスを使いたいのに、上長や経営層が承認してくれないという人もいると思います。
しかし、その一方で、クラウドサービスを積極的に活用して、業務効率をどんどん上げている会社も存在しています。
そんな会社は、クラウドサービスの「リスク」について、どのように捉えているのでしょうか。積極的にクラウドサービスを利用している企業が考えているであろう、3つのクラウドリスクの考え方を紹介します。
(1) クラウドリスクは、ビジネスチャンスのためのやむを得ない犠牲である
「積極的にリスクを取っていかないと、大きなリターンを得ることができない」などといった事は、ビジネスの世界では盛んに耳にしますが、クラウドサービスの利用は、まさにこの原則に当てはまっています。
クラウドサービスの利用は、多くの業務上のメリットを生み出します。例えば、先程も述べたように、任意の場所から社内データにアクセスできる、社内で装置を保守する必要がなくなる、誰でも簡単にサービスの設定ができる、などといった利点があります。
このような、クラウドサービスの利点を活かした業務フローを構築することで、会社に対して大きなリターンを生み出すことに繋がるかもしれません。
それは、顧客に自社の製品を素早く提供することに繋がるかもしれませんし、コストの削減により、自社の製品を他社よりも圧倒的に低価格で提供することに繋がるかもしれません。クラウドサービスのリスクは、これらのリターンの可能性を取るための止むを得ない犠牲であると考えます。
とは言っても、リスクを野放しにしておくわけには行きません。近年は、経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」や、クラウドサービスに関する情報セキュリティマネジメントの国際規格である「ISO/IEC27017」などといった、クラウドサービスに対するリスクマネジメントの枠組みが整備されつつあります。
そのため、積極的にリスクを取りつつも、このような規格・ガイドラインを活用して、適切なリスクマネジメントを実施することが求められます。
(2) 従来の非クラウドでの業務とのリスクを比較してみる
多くの人が「クラウドサービスの利用にはリスクがある」と考えていますが、それでは「クラウドサービスを利用しない現在の業務にはリスクは存在しない」のでしょうか?
例えば、書類を先方のお客様に送付する例を考えてみてください。方法としては、クラウドサービスを利用しない「メール」で送信する方法と、クラウドサービスの一種である「クラウドストレージサービス」を利用する方法の2つを考えてみます。
クラウドストレージサービスとは、Dropboxやboxなどといった、データをクラウド上に保管・受渡を行うサービスです。
一見、クラウドストレージサービスは、自社のデータをクラウドサービスの提供側に預けることになるため、メールに比べて、リスクが高いような気がしますが、どうでしょうか。
多くの人はお気づきかもしれませんが、メール送信にも、もちろんリスクが付きまといます。
例えば、メールアドレス指定ミスによる誤送信、BCC指定ミスによるメールアドレスの流出、誤字脱字などによる信頼の失墜、メール通信経路における第三者による内容の傍受、添付ファイルデータの破損、メーラーや、メールサーバのトラブルによる先方への不通・遅延、…など、挙げだすと、きりがありません。
クラウドサービスを利用しない普段の業務でも、これだけリスクがあるということです。
そして、これは意外な事実かもしれませんが、クラウドストレージサービスを利用し、適切な運用を実施することで、今述べたリスクの多くは、ゼロになるか、低減することが可能です。
このように、ただクラウドサービスのリスクだけに目を向けるのではなく、クラウドサービスを利用することで、低減することが可能なリスクもあるという事実を認識すべきです。
そして、クラウドサービスを利用しない業務のリスクと、クラウドサービスを利用した業務のリスクを、「比較」するということが大切です。
(3) クラウドサービスの利用は、リスク対応の選択肢の一種である
ISMSを始めとした、社内の情報セキュリティリスクを適切に管理する枠組みを導入している企業であれば、業務で生じうるリスクに関するアセスメントや、リスク対応といったリスクマネジメントプロセスを実施していると思います。
業務において生じうるリスクは、それぞれに対してどのように対処すべきか決定し、適切なリスク対応計画を立て、実施することが望まれます。
ところで、なんとか処理しなければいけないリスクに立ち向かうための選択肢として、主に4つが考えられます(*1)。
「リスク低減」「リスク受容」「リスク回避」「リスク移転」です。
実は、クラウドサービスの利用は、この中の「リスク移転」に当たります。
つまり、先ほどの「非クラウド業務と比較してみる」と似ていますが、「クラウドサービスの利用」とは、日々の業務を一部クラウドに移行することで、業務におけるリスクをクラウド業者に移転してしまう「リスク移転」である、という考え方なのです。
そのため、もしクラウド側で情報漏えいや、サーバの長期間停止など、何らかのトラブルが発生した場合は、金銭的な保証を受けることが可能な場合があります。
利用規約やSLAを確認して、適切なリスク移転を実施することが重要です。
さて、「クラウドサービスのリスク」に関する3つの考え方を紹介しました。
クラウドサービスを利用する企業の割合は、年々増加しています(*2)。確かにクラウドサービスの利用にはリスクが伴いますが、そのリスクの考え方を、社内でも一度、見なおしてみることが大切です。
ちなみに、LRMでは、クラウドの情報セキュリティに特化した認証、ISO27017の認証取得コンサルティングをおこなっていますので、ご興味ございましたらこちらもご覧ください。
(参考文献)
このブログ記事の作成にはENISA(ヨーロッパのネットワーク情報セキュリティ庁)が発行している「Cloud Computing: Benefits, risks and recommendations for information security」を参考にしています。この文書は、クラウドサービスに関する国際規格である「ISO/IEC 27017」において、クラウドリスク分析を行う際の参考文献にもなっており、IPAが日本語訳も出しています。
(*1) 情報セキュリティマネジメントとPDCAサイクル:IPA 独立行政法人 情報処理推進機構
(*2) 情報通信白書(総務省)より