1. ISO27017管理策解説(クラウドサービスプロバイダ)
ここでは、ISO27017管理策の解説をしていきます。
今回は、『5.1.1.情報セキュリティのための方針群』~『7.2.2.情報セキュリティの意識向上、教育および訓練』
まで解説します。
※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。
5.1.1情報セキュリティのための方針群
ここでは、クラウドサービスを提供する組織が、「情報セキュリティ方針を拡張する」ことが求められています。
ところで、「拡張する」とはどういった意味でしょうか。
既にISMSを構築している組織なら存在するであろう、あのWebページの下の方に掲載している「情報セキュリティ基本方針」や、その方針の下に作成されたセキュリティに関する社内ルールとは、何が違うのでしょうか。
「独立した方針」の作成
結論から言うと、この管理策では、情報セキュリティ基本方針や、すでにある社内ルールとは「独立した」方針、
あるいは方針群を作成することが求められています。というのも、組織の中に既に存在している社内ルールは
「組織自身が所有する情報」を守るためのルールである意味合いが強い場合が多いためです。
クラウドサービスを提供するということは、「組織自身が所有する情報」に加え、「クラウドサービス利用者がサービスに預けている情報」も守る必要が出てくることを意味しています。そして、この2つの情報を守るための方針やルールは、異なる可能性があります。
例えば、自社の社内システムを保護するためのルールと、クレジットカード情報を扱うクラウドサービスを保護するためのルールは、おそらく異なってくるでしょう。
そのため、「既存の方針+提供するクラウドサービスの方針」という、方針の2本柱を構築する必要があります。
既存の方針に重複するルールがある場合は?
しかし、実際問題、この2つの方針の方向性は一致する場合が多いです。
上記の点で考えられるケースのひとつを挙げます。ISMSを構築した時点で、すでにクラウドサービスを提供していた組織は、「情報セキュリティ基本方針」のなかに、「お客様から預かった情報をしっかり保護します」といった記述を含めているかもしれません。その場合は、今までのISMSの方針の方向性と、この管理策で作成する方針の方向性は一致する事になります。
よって、わざわざWebページの下の方に「クラウドサービス提供のための基本方針」などを掲載する必要はありません。すでにある「情報セキュリティ基本方針」で兼ねることができるからです。
結局のところ、取り組みのイメージとしては、社外向けの「情報セキュリティ基本方針」はそのまま利用、もしくはクラウドに関する内容を一部追加し、社内向けには「クラウドサービス提供規程」のような、セキュリティ対策の方針をまとめた規程を1冊作成するだけで済むケースも多いでしょう。
6.1.1 情報セキュリティの役割及び責任
この管理策を一言で言うなら「しっかりした利用規約を作りましょう」です。
例えば、自社が提供しているクラウドサービスを利用しているお客様の会社の従業員が、IDとパスワードを書いた手帳を落としてしまい、サービスに不正アクセスされたケースを考えてみましょう。
一見、これは明らかにサービス利用者側の責任のように見えます。しかし、例えば自社(クラウドサービスを開発している側)が、2要素認証や、通常とは異なる場所からログインされた場合の通知機能を、サービスに実装していればどうでしょうか。クラウドサービスを提供する側の責務として、このようなセキュリティ機能を実装しておく責任があったとは考えられないでしょうか。
そう考えると、この不正アクセスはどちらの責任なのか、いよいよわからなくなってきます。
「しっかりとした規約」とは
この管理策は、そのような曖昧な責任範囲を払拭するためのものです。
実際の例として、多くのクラウドサービスの利用規約には、「お客様は、自身のパスワードを適切に管理する責任を負います。パスワードの流出によって不正アクセスが発生した場合は、当社は責任を負いません」などの記述があります。
このように、サービス利用者側と責任範囲を明確に分け、合意しておくことが大切です。
パスワードの管理以外に、責任範囲が曖昧になりそうな例として、通信経路の傍受、利用者の公開範囲設定ミス(アクセス権設定ミス)による情報漏えい、利用者に提供している仮想サーバのウィルス感染(IaaSの場合)、などが考えられます。
6.1.3 関係当局との連絡
クラウドサービスの利用者が、クラウドサービスの関係当局を特定するために、サービスを運営している自社の地理的所在地と、カスタマーデータを保管する国を通知する必要があります。
関係当局を公表することで安心感を与える
データの保管国は、利用者が関連当局を特定するだけではなく、サービスを選定するための基準になる場合があります。
例えば、「お客さまのデータはすべて日本国内に保管されます」と広く公開しておくことで、利用者に安心感を与えることが出来ます。
一方、政治の状態が不安定であったり、国家権力が強い国にデータを保管していたりする場合は、利用者に不安感を与えかねません。
通知の方法は、Webページに掲載する、利用規約に掲載するなど様々です。
とはいっても、自社の地理的所在地は、多くの場合、会社のWebページなどに掲載していることがほとんどですから、実際は、データ保管国を追加で記載するだけの取り組みとなるケースが多いでしょう。
7.2.2 情報セキュリティの意識向上、教育及び訓練
クラウドサービスを提供している会社の従業員(特に、開発や運用に携わっている方々)は、すでにクラウドやクラウドサービスに関する知識は十分にあることと思います。
しかし、クラウド特有の組織的及び法的なリスクや、最近のクラウドに関する事故事例は、知っておいて損はない知識でしょう。
教育の目指すところ
前述のような教育内容を、従業者に対して教育する必要があります。
また、もし、クラウドサービス上の重要な情報に、自社の従業者以外の業務委託先がアクセスできるのであれば、業務委託先の従業員に対する教育の実施も検討すべきでしょう。
そして、JIS Q 27017には書かれていませんが、経産省のガイドラインには、「利用者がその従業員に対する教育を補助するために、サービスの操作マニュアルなどを提供する」という記述があります。
利用者側の教育の実施不足により、利用者の設定ミスなどで情報が漏れた場合を想像してみて下さい。
非があるのは完全に利用者側のように思いますが、場合によってはサービスそのものに、悪い評判が立ってしまう可能性もあります。そうならないために、操作マニュアルの提供など、必要に応じて利用者側の従業者教育の補助をする心がけも大切です。
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。