クラウドのセキュリティポリシーとして考えるべきこと:三輪信雄「ここが変だよみんなの対策」(情報元のブックマーク数)
誰がお金を持っているか、誰に決定権があるか、、、、インフラ部門にはそんなお金は通常ない・・・
実際に、私の知っているいくつかの企業では、情報システム部門抜きに、ユーザー部門主導でクラウドサービスの導入が進められているのです。これには、ユーザー部門がシステム化予算を持っていることが多いことと、システム構築が伴わない場合には情報システム部門には声がかからないことが多いという背景があります。
クラウドのセキュリティポリシーとして考えるべきこと | 日経 xTECH(クロステック)
自社でシステムを構築する、これまでの経緯から、高くて遅くて不便なものができると思っているユーザー部門は少なくありません。そこでコスト削減も迫られているユーザー部門は、勝手にクラウドサービスの導入に走っているのでしょう。
ガイドラインも作成中でしたっけね。ユーザ企業でもクラウドを使う上でのガイドラインやポリシーは必須になるでしょうね。
もし、クラウド側が海外に行ってしまったとか、サーバが気付かない間に違う国に行ったとかあり得るんだろうなぁ・・・
これは、これまでASPサービスなどで自社の重要な情報が漏えいした事例がほとんどないからなのです。そこにきてクラウドサービスが始まったために、データの外部業者への委託に対するセキュリティポリシーがないままに利活用が急速に進められているのです。また、コスト削減の切り札のような広告宣伝が行われているために、セキュリティ問題が置き去りにされてしまっているのです。
クラウドのセキュリティポリシーとして考えるべきこと | 日経 xTECH(クロステック)
機密情報の定義がある場合には、「機密情報(個人情報に限らない)を外部業者に預ける場合の組織内の手続き」を定義するべきでしょう。これによって、機密情報が勝手にクラウドサービスに置かれることを防ぐことができます。しかし、これだけでは不十分です。どういう基準で許可するのか、あるいは許可しないのかを「ポリシー」として記述する必要があります。
確かに以下の検討は必須ですね。
このため、クラウドサービスの利用の許可をする基準としては、以下が考えられます。
- 扱う機密情報の種類と量
- 海外にデータが置かれるかどうか
- 海外の事業者か、日本法人か
- 係争を起こす場合の裁判所が国内にあるか海外にあるか
- 具体的な技術的なセキュリティ対策
- 具体的な冗長構成
- 具体的なデータセンターの運用体制
- 仮想コンピューター技術の種類
これらをシステムごとに毎回検討するよりも、ある程度指針を打ち出しておくべきです。このためには、法律の専門家、仮想化技術の専門家などの有識者を社内外から集めて集中的に検討を行い、経営者が承認したガイドラインを作成しておく必要があるのです。
クラウドのセキュリティポリシーとして考えるべきこと | 日経 xTECH(クロステック)
