クラウドストレージサービスとは

最近、お客さまから「当社ではデータの管理にクラウドストレージサービスを利用しているが、ISMS認証を取得するうえで問題ないだろうか？」といったお問い合わせをいただくことがあります。

クラウドストレージサービスとはboxやGoogle Driveに代表される、クラウド上のディスク領域を貸し出すサービスです。

契約した容量だけ自由にファイルを保存することができ、IDとパスワードを入力することで複数の端末から利用することができます。

インターネットを通してアクセスするため圏外でなければどこからでも利用することができるうえ、多くのサービスがスマホやタブレットに対応しています。

また、自分以外のユーザーに対してもファイルを容易に共有することができるため、非常に便利です。

さらに、物理的なサーバ筐体を社内で保有する必要がなくなるため、運用コストの削減にもつながります。

ISMS認証取得を目指すうえでの留意点

結論としては、クラウドストレージサービスを利用していてもISMS認証を取得することはできます。

実際、弊社のお客さまでもストレージだけでなく社内システムのほぼすべてをクラウドサービスで対応しながらISMS認証を取得された企業さまがいらっしゃいます。

ChatWork株式会社さま顧客事例
TANREN株式会社さま顧客事例

一方で、クラウドストレージサービスを業務で利用する場合には特有のリスクが存在します。

ISMS認証取得にあたっては、こうしたリスクをきちんと特定し、必要に応じて対応策を検討しておく必要があります。

まず、個々人がそれぞれクラウドサービスを契約し、アカウントを所持して利用してしまうと、「誰がどのデータを持っているのか」が会社として把握できなくなってしまう問題があります。

本人しかアクセスできない個人用のアカウント環境に業務の情報が保存されている状態は、情報漏えいのリスクを抱えていると言えます。

また、個人用端末から当該クラウドサービスへログインし、業務情報を個人用端末にダウンロードしているというような場合でも、企業側がそれを把握することができません。

クラウドサービス上の業務情報を気軽に個人用端末に保存できてしまう状況は、情報の漏えいや悪用を招く原因となります。

ISMSにおけるオンラインストレージの利用

クラウドストレージサービスを利用しながらISMS認証取得を目指すにあたっては、個人向けのサービスではなく法人向けのサービスを利用することが推奨されます。

法人向けサービスにはストレージ機能のほかに管理機能が備えられていることが多く、情報セキュリティを維持しつつサービスを利用するのに役立ちます。

管理機能のひとつとして「ログ取得機能」があります。

この機能を使うことで、管理者は「誰がどの情報を持っているのか」「誰がいつどんな情報にアクセスしたのか」を把握することが可能です。

また、同じく管理機能のひとつとして「アクセス制御機能」が備わっているサービスもあります。

この機能を使うことで、サービスを利用できる端末を限定することができます。たとえば「会社から支給されたPCのみアクセス可能」や「個人用のスマホ端末からはアクセス不可」といった制限を加えることができます。

リスクをきちんと特定して対策を講じることで、クラウドストレージサービスの便利な機能を活用しながら認証取得に向けてISMSを構築することができます。

クラウドストレージサービスには管理者が情報資産を把握しやすく、また筐体が故障する心配もないという情報セキュリティの観点での大きなメリットがあります。

適切に管理することさえできれば、むしろオンプレミスでファイルサーバを構築する場合よりもセキュリティレベルが向上するというケースも考えられます。

クラウドストレージサービスを適切に利用して業務効率を高めながら、ISMS認証取得を積極的に目指していきましょう。