クラウド上のセキュリティリスク(法律編)

企業でもクラウドサービスの利活用が一般的になってきた一方で、漠然と「クラウドサービスはよくわからないし、セキュリティ的に危険そうだから」といった印象をお持ちになっている方も多いのが現状ですが、クラウドサービスが有している具体的なリスクを知ることができれば、より建設的な議論ができるのではないでしょうか。

その一歩として、ENISA(欧州ネットワーク情報セキュリティ機関)発行の “Cloud Computing: Benefits, risks and recommendations for information security” に記載されている、クラウド上の様々なリスクをご紹介します。

この文書では、組織に関するリスク(7個)技術に関連するリスク(13個)法律に関するリスク(4個)という3つのカテゴリに分けて、計24個のリスクが紹介されています。

また、この文書は、ISO27017において、リスク分析を実施するための参考文献として紹介されている信頼性のおける内容となっており、クラウドに関わるご担当者様にはご一読をおすすめします。

今回は、法律に関するクラウド上のセキュリティリスク(4個)をご紹介します。

(1) 証拠提出命令と電子的証拠開示

あまり考えたくない例ですが、マルチテナント形式で、同じサーバを共同利用している利用者が、そのサーバ上で、不正アクセスなどの犯罪行為を行っていたと仮定しましょう。

万一、共同利用者に不正アクセス禁止法違反等の容疑が掛けられていれば、場合によっては、不正アクセスを行っていたシステムが収められているサーバが、警察などの捜査機関によって押収されるかもしれません。
そして「自社のシステムだけを別サーバに移させてほしい」などの要求が聞き入れられることは考えにくく、結果として、自社のシステムや顧客データまでをまとめて押収される形になります。

自社のデータが意図せざる機関(今回の場合は警察)によって強制的に押収され、好ましくない相手に開示させられる状況に陥るばかりではなく、その事態そのものが、コンプライアンス上の問題に発展する可能性もあります。

このように、捜査当局や法律機関などによって、自社データが押収されたり開示を強制されたりという事態に陥るリスクを、「証拠提出命令と電子的証拠開示」と表現しています。

(2) 司法権の違いからくるリスク

日本と海外で法律が違うことは当たり前ですが、クラウドサービスを利用する場合に、そういった国内外における法律の相違を念頭に置いている方は少ないのではないでしょうか。

例えば、EUで定められている「EUデータ保護指令」では、EU国内で取得した個人情報を、いくつかの例外国もあるものの、日本を含めた諸外国に転送することを禁止しています。

例えば、日本にはマイナンバーに関する法律があります。
2015年後半からの積極的な政府広報の影響もあり、「他人に公開してはならない」「本来の目的以外に使用してはならない」といった制約は、日本に住んでいる大多数にとっては周知の事実かもしれませんが、そのことを知らない海外の会社が、日本の利用者のマイナンバーを収集し、外部に公開してしまった場合、たとえ悪意がなくても法律違反とみなされるかもしれません。

このように、海外のクラウドサービスを利用する場合や、クラウドサービスを海外のお客様に提供する場合に、適用される法律が異なることにより生じ得るリスクを「司法権の違いからくるリスク」と呼んでいます。

(3) データ保護に関するリスク

自社のデータをクラウドサービスに預けてしまえば、クラウドという名前が表す通り、当該データのその後の処理は、さながら雲の中で行われているかのように、利用者はそれらを確認することが出来ません。

この事実は、場合によっては非常に大きなリスクになり得ます。
と言うのも、クラウドサービスに預けたデータが、クラウド事業者によって、契約や法に違反する処理が行われている可能性が生じ得るためです。

例えば、自社が、マイナンバーのような「法律によって、不必要になった時点ですみやかに削除しなければいけない定められているデータ」をクラウドサービス上に保管しているとしましょう。

不必要になったデータが生じれば、自社の担当者は、クラウドサービス上の「削除」ボタンによって、当該データの削除操作を行います。
しかし、クラウドサービスである以上、削除操作によって画面からは見えなくなっていても、果たして「データ自体が本当に削除されたか」を知ることは出来ません。
ひょっとすると、クラウド事業者が利用している仮想サーバの中には、データが残り続けているかもしれません。

さて、上記の場合、法律違反を起こしているのは自社でしょうか、それとも自社が利用しているクラウドサービスを提供している事業者でしょうか。
一見すると、クラウドサービス事業者側に責任が生じるようにも見えます。
しかし、場合によっては、自社の担当者が当該クラウドサービスの仕組みをしっかりと理解していないために発生した問題であり、自社が法律を順守する努力を怠った、とみなされてもおかしくありません。

このように、クラウド上の個人情報をはじめとする各種のデータが適切に、合法的に取り扱われないリスクを「データ保護に関するリスク」と総称しています。

(4) ライセンスに関するリスク

IaaSの仮想サーバには、構築したサーバをコピーして、全く同じサーバを容易に構築できる場合があります。

例えば、ある仮想サーバにおいて、有償ライセンスのマルウェア対策ソフトを導入していたとして、上述した「同じサーバを構築する」操作を行う場合には、ライセンスはどのように捉えるべきでしょうか。
クラウド環境では、適切なライセンス管理を行わないと、無意識のうちにライセンス違反を生じさせてしまう可能性があります。

また、例えば、IaaSが提供している仮想サーバ上に、自社が構築したシステムやプログラムを載せた場合、その著作権は自社にあるのでしょうか、IaaS側にあるのでしょうか。
一般的には自社にあると考えられますが、サービスの利用規約によっては、IaaS側に当該システムやプログラムを無断で複製する権利や利用する権利を与えるものとされている可能性があります。

このように、あらかじめ各種の権利を明確にしておかないと、自社のサービスが法的なリスクを有することになる危険性を「ライセンスに関するリスク」と呼んでいます。


法律に関するクラウド上のセキュリティリスクは以上となります。
クラウド上における他分野のセキュリティリスクを知りたい方は、下記もご覧ください。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
ISO27017認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る