クラウド利用の実態
今の時代、クラウドシステムの利用なしで企業の情報システムを語れなくなってきています。読者のみなさまも、会社で日頃意識せずに使っているシステムが実はクラウドシステムだったというものもいろいろあると思います。
例を挙げると、メールはGoogleやOffice365を使っているだとか、打合せにZoomやTeamsを使ったり、出張や交通費の精算に楽楽精算を使っているなど、これらは全てクラウドシステムの利用です。会社の情報システム部や人事部、経理部、総務部などがそれぞれの担当業務分野で社内最適化を検討し、クラウドシステム利用に至っていることが多いと思われます。別のコラムでも書きましたが、クラウドシステム利用は、利用料金を支払うことで基本的にシステムの運用・保守なしで使い放題の非常に便利な、現代にマッチしたものになっています。提供するクラウド事業者側も、あの手、この手で新しいサービスの提供や、利用料金の割引などいろいろ工夫し利用拡大を図っています。
そんな中、クラウドサービスを利用する際、何に気を付ければ良いのでしょうか?
今回は、利用する際に気を付けるべきポイントについて説明したいと思います。
特に契約時にしっかり契約内容を確認しておく必要があります。運用開始後や解約時にこんなことじゃなかったと後悔しないようにするためにも必要なことです。
なお、今回説明するのはクラウド利用のうちSaaSと呼ばれる、クラウド事業者が提供しているインフラだけでなくサービスまで含めた利用形態についてです。
クラウド事業者選定時に確認すべき必須事項
複数のクラウド事象者を調査するときに確認すべき事項を記載します。ただし、カタログによる確認やベンダーの営業担当者への確認に限られること、さらには契約前のため、内容によっては十分な情報が得られないこともありますが、可能な範囲で調査し比較検討することが重要です。
1.機能面
まず最初に検討しなければならないことは機能面についてです。クラウドシステムは昔でいうパッケージシステムの共同利用のようなイメージになるので、機能面についは基本的にはクラウド事業者側が提供したものをそのまま利用する形態になります。これまで社内システムとして利用していた、自社の業務にマッチしたシステムと比較すると使い辛いシステムと思うことがよくあります。何せ、クラウドシステムは広く一般の企業に使ってもらうため全体最適化したシステムになっているからです。
対策として、社内業務をBPR(Business Process Re-engineering)によりクラウドシステムに合うように変更することが一般的です。ただ、利用するクラウドシステムにも拠りますが、カスタマイズ費用を支払うことにより機能変更(例えば画面レイアウトだったり、処理手順だったり)をすることも可能です。しかし、機能変更することで変更費用が発生し、さらに予期せぬ脆弱性が拡大するリスクや、運用保守料金も増大することに注意が必要です。
2.運用・保守面
利用開始後の運用・保守の細かいルールについては契約時に確認することになりますが、選定時に確認すべきことは
カタログベースでの
・日々の監視状況と異常発生時の連絡体制
・OSやアプリケーションの脆弱性への対応
・データのバックアップ(実施頻度)
・保証している稼働率
等の確認や、
ベンダーの営業担当者へ確認することである程度はわかります。
3.情報セキュリティ面(情報漏えい等の過去の不祥事、データの保管場所等)
情報漏えい等の情報セキュリティ事故に関しては、プレス発表されたものでない場合は把握することは難しいと思います。他にベンダーの営業担当者に確認するしかありませんが、選定の段階であまり話してくれない場合が多いと思われます。
データの保管場所について、外資系のAWSやAzureなどは海外に設置されているサーバーに保管されるケースがあると思われますが、国内のクラウド事業者を利用する場合は、都道府県まではわかりませんが、多くの場合は日本国内と考えて良いと思います。
保管場所で注意が必要なことは二点あります。
一点目は、当該サーバーがヨーロッパに設置されている場合、GDPR(EU一般データ保護規則)という規則に従う必要があるので、当該サーバーに保管しているデータに個人情報がある場合は注意が必要です。
二点目は、自然災害によるサーバーへの物理的な影響です。地震によるサーバーの倒壊、大雨による水害被害、停電によるサービス停止などのいろいろな影響が考えられるので、確認できる範囲で確認が必要です。
4.クラウド事業者の信用情報
名の通った大きなクラウド事業者は問題ありませんが、特殊なソフトウェアを専門に取り扱っている比較的小規模なクラウド事業者を利用する場合、可能な範囲で信用調査を行う必要があります。
ある日突然会社が倒産し、利用しているシステムの運用がストップした場合、業務利用ができなくなるばかりでなく、保管してある会社の重要情報や顧客機密情報、個人情報等の保全が不可能になり、データの移行ができないことや、不正に盗難されるリスク等も考えられるので、可能な範囲での信用調査は必要です。
5.料金面
利用するアプリケーションと運用・保守のレベルにより料金は変わってきます。安かろう、悪かろうではありませんが、筆者は妥当な価格帯はあると思っており、極端に安い価格設定のクラウド事業者は疑ってかかるべきだと思います。平均的な価格帯で、上記に記載した機能面、運用・保守面、情報セキュリティ面、信用状況などを総合的に検討し判断することが必要です。
クラウド事業者との契約時に確認すべき必須事項
クラウド事業者と契約するときに注意すること/確認すべきことの例として次のことを考える必要があります。
1.利用環境の設置国(データの所在国は日本かそれ以外か)
海外に設置の場合は、場合によってはその国の法令に従う必要があるので注意が必要
2.管理対象の責任範囲が明確になっているか
一般的にSaaS利用時は、データのみ自社管理で他はクラウド事業者
3.日々の監視状況
4.情報セキュリティ事故が発生した時の連絡体制や作業範囲が明確になっているか
5.メンテナンスするときのアカウントの管理、作業手順が明確になっているか
6.バックアップの頻度と障害時にどの地点まで戻すことができるのか
7.サイバー攻撃対策の実施状況
8.常駐している派遣社員への情報セキュリティ教育の状況
9.バージョンアップ(脆弱性対応含む)の頻度、作業時の利用環境への影響
10.サーバー故障時、HDDに保管されているユーザーデータの取り扱い
11.月次の運用状況報告の有無
12.契約終了時のデータ移行のサポート
13.契約終了後に保管しているデータの削除(各種ログの削除可否と削除範囲)
次に、これらを順に説明します。
1.利用環境の設置国(データの所在国)
- ポイント:データがどの国に保管されるかは、クラウド事業者に依るので利用企業が指定することはできません。海外に設置される場合、日本の法令に加えその国の法律や規則等に従う必要があるので、どこの国のサーバーに保管されるのか確認が必要です。
- 補足:特に、EU加盟国28カ国にデータが保管されているサーバーがある場合、EU一般データ保護規則(General Data Protection Regulation:GDPR)の適用になるため、個人情報の取り扱いには注意が必要となります。
2.管理対象の責任範囲
- ポイント:クラウドサービスの利用形態(IaaS/PaaS/SaaS)によって、どこまでが自社の責任で、どこからがクラウド事業者の責任かを明確にする必要があります。SaaS利用の場合、一般的にはアプリケーション利用におけるユーザーアカウントやアクセス制御、及びデータは自社で管理しますが、それ以外のシステム基盤(H/W、S/W、N/W、設備、アプリケーション、アプリケーションの設定値等)やミドルウェア(OSやDB管理システム等)はクラウド事業者が管理します。
- 補足:個別契約書やサービスレベル契約(SLA)で、具体的な責任範囲を確認することが重要です。記載内容が不明瞭や不利な場合は、納得できるまでクラウド事業者に確認や調整することが必要です。
3.日々の監視状況
- ポイント:クラウド環境の監視体制、監視方法(自動監視、人的監視など)、異常検知基準、異常時の対応プロセスなどを確認することが必要です。
- 補足:クラウド事業者はシステムを24時間365日監視しているか、異常を検知した場合は速やかに対応する運用になっているかなど確認する必要があります。
4.情報セキュリティ事故が発生した時の対応
- ポイント:情報セキュリティ事故が発生した場合、迅速かつ適切な対応が求められます。そのため、セキュリティ事故発生時の連絡窓口、それぞれの対応範囲、復旧作業の手順などについて明確にしておくことが重要です。特に、休日や夜間の障害時にどのようにコミュニケーションを取ることができるか明確にしておくことも重要です。
- 補足:クラウド事業者側に起因した障害で、SLAに記載されている以上サービスが停止した場合は損害賠償請求の対象となるので、影響範囲(停止時間や復旧ポイント等)を明確にする必要があります。
5.メンテナンス時のアカウント管理と作業手順
- ポイント:不正アクセスやデータ改ざんを防ぐため、さらにはメンテナンス中の影響を最小限にするため、管理者権限アカウントの管理方法とメンテナンス時の作業手順を確認する必要があります。
- 補足:さらに、メンテナンス後に作業報告書を入手することが可能か確認する必要があります。
6.バックアップの頻度と障害時のリストアポイント
- ポイント:バックアップの頻度や方式、障害発生時にどの時点までデータを戻せるか(RPO: Recovery Point Objective)、復旧にかかる時間などを確認することが重要です。
- 補足:バックアップの保存方法や期間や、バックアップデータへのセキュリティ対策を確認することが必要です。
7. サイバー攻撃対策の実施状況
- ポイント:クラウド事業者がどのようなサイバーセキュリティ対策を講じているかを確認します。
例えば、ファイアウォール、侵入検知システム(IDS)、侵入防止システム(IPS)、脆弱性管理、データ暗号化などです。 - 補足:さらに、DDoS対策の有無やセキュリティ監査の実施頻度などの確認も有効です。
8.常駐している派遣社員への情報セキュリティ教育の状況
- ポイント:常駐している派遣社員にも社員と同等の情報セキュリティ教育を実施しているか確認します。
- 補足:業務委託契約(請負や準委任契約等)の場合は指示命令ができないので、教育は委託先元で実施しているか確認が必要です。
9.バージョンアップ(脆弱性対応を含む)の頻度と利用環境への影響
- ポイント:OSやアプリケーションのバージョンアップや脆弱性対応の頻度、通知方法を確認します。またバージョンアップ前には、バージョンアップすることによるアプリケーションへの影響が無いことを確認することになっているか確認する必要があります。
- 補足:さらに、バージョンアップに問題が発生した時には元の状態に戻せるよう、ロールバック体制を取っているか確認が必要です。
10.サーバー故障時、HDDに保管されているユーザーデータの取り扱い
- ポイント:HDD(ハードディスクドライブ)には、アプリケーションやその設定値、会社情報や個人情報などが保管されていますが、HDDの状態に拠っては読み取りが可能な場合もあります。サーバーが故障した場合に保管されているユーザーデータの取り扱いについて確認する必要があります。
- 補足:耐障害性向上のため二重化されている片方のHDDが故障した場合などはユーザーは気付かないので、HDDを交換した場合はいつ交換したか、HDDの処分方法等を確認することが望まれます。
11.月次の運用状況報告
- ポイント:定期的な運用状況報告が提供されるかを確認します。
- 補足:報告内容(パフォーマンス、セキュリティインシデント、利用状況など)に何があるか、必要な情報が含まれているか確認し、追加で報告して欲しい事項があれば要請する必要があります。
12.契約終了時のデータ移行サポート
- ポイント:契約終了時にデータをどのように移行するかの手順、移行作業のサポートの提供有無や範囲を確認します。
- 補足:データ移行に係る概算の費用の確認も必要です。また、クラウド事業者がサービスを終了する場合は、一定期間前に事前連絡がもらえるよう交渉しておくことが必要です。
13.契約終了後のデータ削除
- ポイント:契約終了後に保管されているデータやログが完全に削除されるかを確認します。
- 補足:削除対象のデータ範囲(特に操作ログ等)、削除方法、削除作業実施時期、データ削除証明書の提供を求めることが重要です。
運用時に確認すべき必須事項
◆運用時は契約時の項で確認した事項の通りに運用されているか確認が必要です。
実施されていない場合は契約違反となりますので、クラウド事業者へ申し入れ改善してもらうよう交渉する必要があります。
自社でクラウドシステムを管理する範囲は、一般的にアプリケーションを利用するためのログインIDなどのアカウント管理やアクセス制御が中心です。登録、変更、削除のルールを決め、申請に従い作業担当がこれらの作業を行い、実施した内容を管理者が承認するという基本的な手順を整備する必要があります。また、データのバックアップはクラウド事業者も取得していますが、ユーザー企業側でも必要に応じて取得しておくと良いかもしれません。取得したバックアップデータの情報セキュリティ面の管理をしっかり行う必要があることは言うまでもありません。
解約時に確認すべき必須事項
◆解約時は契約時の項で確認した事項の通りに解約時の処理が実施されているか確認が必要です。
実施されていない場合は契約違反となりますので、クラウド事業者へ申し入れ改善してもらうよう交渉する必要があります。
また、解約した後にも自動課金などで請求されることが無いよう、クラウド事業者の規程に則った解約手続きを行う必要があります。