業務で利用している管理外のクラウドの整理について

ISO27017(クラウドセキュリティ管理策)によればクラウドサービスの環境では、派生データ(アカウント管理情報、イベントログ、DBMSインデックス等)のクラウドサービスプロバイダの責任分界の中で作成しているデータはユーザーが識別できないため、情報セキュリティ管理対象から漏れるリスクがあります。

例えば、LINEが中国で開発をしていたため、一部のデータが中国からアクセス可能な状態だったという事を、ユーザーが把握し管理することは極めて困難です。
2021/3/17 LINE ユーザーの個人情報に関する一部報道について

なお、適切にアクセス制御が行われない場合、クラウドサービスプロバイダの操作者による不正アクセスのリスクがあります。このことからクラウドサービスプロバイダを特定しておくことと、クラウドサービス カスタマーデータ(カスタマが入力または生成した情報)の重要性に応じて分類して適切なレベルで保護することが推奨されています。

一つの指標として、お使いのクラウドサービスがASPIC クラウドサービス情報開示認定制度に認定されていることや

「ASP・SaaSの安全・信頼性に係る情報開示認定制度」は、今後、 ASP・SaaS サービスの利用を考えている企業や地方公共団体などが、事業者やサービスを比較、評価、選択する際に必要な「安全・信頼性の情報開示基準を満たしているサービス」を認定するものです。

具体的な選定基準のチェックには「ASP・SaaSの安全・信頼性に係る情報開示指針」 (総務省;平成19年11月27日公表) で示されている情報開示項目を基準とした審査対象項目が参考になると思います。

審査対象項目
https://www.aspicjapan.org/nintei/asp-nintei/data/shinsa.pdf

なお、GDPR(EU一般データ保護規則:全ての個人のためにデータ保護を強化し統合することを意図している規則)に対応していることも目安になると思います。

<参考例>

個人のプライバシーを Microsoft のクラウド サービスで安全に守る

AWS のサービスを使用する場合の GDPR コンプライアンス

Zoom Video Communications GDPRコンプライアンス

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター