ISO27017(クラウドセキュリティ管理策)によればクラウドサービスの環境では、派生データ(アカウント管理情報、イベントログ、DBMSインデックス等)のクラウドサービスプロバイダの責任分界の中で作成しているデータはユーザーが識別できないため、情報セキュリティ管理対象から漏れるリスクがあります。
KnowBe4の調査によると、半数の従業員が、業務目的に未承認のファイルサービスを利用している事が明らかになりました。
なお、世界の地域と業種を問わず43万5千人を超える回答者からの調査回答をもとに、シャドーITとして「業務目的での情報のやり取りや保管に未承認のクラウドサービスを利用しているか」と、「業務用のコンピューターを使って未承認のファイル共有ネットワークをアクセスして、ファイルのダウンロードしていないか」を、分析したものです。
例えば、LINEが中国で開発をしていたため、一部のデータが中国からアクセス可能な状態だったという事を、ユーザーが把握し管理することは極めて困難です。
2021/3/17 LINE ユーザーの個人情報に関する一部報道について
なお、適切にアクセス制御が行われない場合、クラウドサービスプロバイダの操作者による不正アクセスのリスクがあります。このことからクラウドサービスプロバイダを特定しておくことと、クラウドサービス カスタマーデータ(カスタマが入力または生成した情報)の重要性に応じて分類して適切なレベルで保護することが推奨されています。
一つの指標として、お使いのクラウドサービスがASPIC クラウドサービス情報開示認定制度に認定されていることや
「ASP・SaaSの安全・信頼性に係る情報開示認定制度」は、今後、 ASP・SaaS サービスの利用を考えている企業や地方公共団体などが、事業者やサービスを比較、評価、選択する際に必要な「安全・信頼性の情報開示基準を満たしているサービス」を認定するものです。
具体的な選定基準のチェックには「クラウドサービスの安全・信頼性に係る情報開示指針」 (総務省, 平成29年3月31日公表)、「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」の追加 (総務省, 令和4年2月15日公表)で示されている情報開示項目を基準とした審査対象項目が参考になると思います。
審査対象項目など
ASP・SaaS 情報開示認定制度 、申請方法と申請書類のダウンロード
なお、GDPR(EU一般データ保護規則:全ての個人のためにデータ保護を強化し統合することを意図している規則)に対応していることも目安になると思います。
<参考例>
個人のプライバシーを Microsoft のクラウド サービスで安全に守る
AWS のサービスを使用する場合の GDPR コンプライアンス
Zoom Video Communications GDPRコンプライアンス
VRM:ベンダーリスクマネジメント
クラウドサービス導入時のセキュリティチェックシートのアナログ管理をシステム化することで、クラウドサービス自体やユーザの利用に関するリスクの可視化と管理を実現するサービスとして、国産クラウドサービスをカバーしているConorisがあります。
