お役立ち情報 選ばれるクラウド事業者になるためのセキュリティ対策とは
クラウドサービスを提供する事業者が事業拡大していく上で、競合他社の類似サービスではなく自社サービスを選んでもらうことは非常に重要です。そのための施策には様々なものがありますが、今回は「情報セキュリティ」の観点から、ユーザーに選ばれるための施策を考えてみましょう。
また、ユーザーに自社の情報セキュリティレベルをアピールする手段として、ISMS認証(ISO27001)の取得もおすすめです。当社では、ISMS認証新規取得のご支援も行っていますので、ISMS認証取得をご検討されている方はぜひご相談ください。
ユーザーから選んでもらえるクラウドサービスとは
ユーザーがクラウドサービスを選ぶ際に確認する項目として、サービスの品質それ自体はもちろんのこと、「クラウドサービスや提供する事業者に対する信頼度」という要素が挙げられるかと思います。サービスやその運営企業がユーザから信頼を得ている状態であれば、他社サービスと比較検討する段階で優位に立てるかもしれません。しかし、ユーザーからの信頼が無ければ、話を聞いてもらうことも難しいでしょう。
では、ユーザーから信頼されていない状況は、どのような原因により引き起こされるのでしょうか。
例えば、サービスから顧客情報が流出した場合や、不具合等によりサービスそのものが使えなくなった場合です。このような事象が発生すると、ユーザからの信頼を失ってしまい、サービス受注の機会損失やサービス解約に繋がってしまうケースもあります。
アドビ株式会社が2022年6月に発表した「Adobe Trust Report 2022」では、企業でデータ漏えいが起きた際、調査した日本の消費者のうち57%が「購買を中止する」、24%が「購買を中止する可能性が高い」と回答したことを明らかにしました。このデータからも分かるように、情報漏えい事故の発生は、ユーザーからの信頼を失うだけではなく、サービスの存続にも関わり得る問題となっています。
信頼を失わないための情報セキュリティ対策
ユーザーからの信頼を失わないためにも、クラウドサービス事業者にとって情報セキュリティ対策は必須事項です。ここからは、情報漏えいやサービス停止に備えた具体的な情報セキュリティ対策を見ていきましょう。
情報漏えいを防ぐための対策
情報漏えいが起きる原因の一つとして挙げられるのが不正アクセスです。
不正アクセスの原因としては、次のようなものが考えられます。
- 顧客情報を外部からアクセスできる設定にしてしまっている
- サービス利用終了後の顧客情報の削除の取り決めをしていない
- 脆弱性の低いソースコードを書いて開発を行っている
上記などが原因で不正アクセスを引き起こさないためには、次のような対策を講じておきましょう。
- 顧客情報の保存場所にはしっかりとしたアクセス制御をかける
- 顧客情報の取り扱い期間を定め、利用者と合意を取る
- コーディング規約を守り、堅牢なコーディングを実施する
サービス停止しても慌てないための対策
利用していたサービスが停止し、使用できなくなった場合にも、ユーザーからの信頼は低下します。サービス停止の原因としては、先述した不正アクセスなどの外部からのサイバー攻撃に加えて、アクセスの集中やソフトウェアの不具合などによってサーバーそのものが停止してしまうことも考えられます。
サーバー停止に備える対策としては次のような対策を講じておきましょう。
- サーバーが停止した際の代替案を事前に考えておく
- IaaSなどのサービスを使用している場合は、責任共有モデル(クラウドサービスの利用において、クラウドサービス提供事業者と利用者のどちらが責任を持つのか)を確認しておく
ISMSやISO27017を用いた効率的な情報セキュリティ対策
先述した対策は、ISMS認証(ISO27001)やISMSクラウドセキュリティ認証(ISO27017)などの情報セキュリティの第三者認証を取得することで、一通り網羅することができます。
ISMS認証(ISO27001)
ISMS認証は、組織が情報セキュリティに関して最低限行うべきことが規格として要求されています。
そのため、クラウドサービス提供事業者に求められる、情報資産の保管期間の決定、アクセス制御や事業継続試験の実施なども含めて、全般的にセキュリティ対策を行うことができます。
また、ISMS認証では、具体的な対策方法は各組織が状況や達成したいセキュリティレベルに合わせて選択することが可能です。
ISMSクラウドセキュリティ認証(ISO27017)
ISMS認証のアドオン規格として、ISMSクラウドセキュリティ認証(ISO27017)も存在しています。クラウドサービスを提供、または利用する際のセキュリティ対策に特化した規格であり、利用者へどの程度の機能を提供するのか、利用者のサービス使用終了後の情報資産をどのように扱うのか等について定めることが要求されています。ISMS認証とあわせて、ISMSクラウドセキュリティ認証も取得することで、クラウドサービスの提供、利用に関して更に強固な情報セキュリティ体制を構築することができます。
これらの認証を取得することは、社内の管理体制強化に繋がるだけではなく、認証取得を外部に公表することで自社のセキュリティレベルの高さをアピールすることができるため、ユーザーからの信頼向上にも繋がります。
当社では、ISMSクラウドセキュリティ認証(ISO27017)新規取得のご支援もしています。
日本国内初のISMSクラウドセキュリティ認証を取得した企業をご支援した実績があり、ITやクラウドセキュリティに精通したコンサルタントが取得まで徹底サポートいたします。
ISMS認証との同時取得もご支援しておりますので、クラウドセキュリティ体制構築をご検討されている方はぜひご相談ください。
まとめ
クラウドサービスを提供する事業者における情報セキュリティの重要性・必要性についてご紹介してきました。
顧客からの信頼を失わないためにも、情報セキュリティ体制構築は必須です。また、効率的な体制構築の手段として、ISMS認証やISMSクラウドセキュリティ認証取得に取り組むことも選択肢に挙げてみましょう。
LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。
数多くの顧客支援で培ったノウハウをもとに、専門コンサルタントチームが取得までしっかりサポートします。
また、情報セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ体制整備にお悩みの方は、お気軽にご相談ください。