目次
はじめに
一昔前はソフトウェアと言えば、自分のパソコンにインストールして使うか、会社内に設置されたサーバにインストールして使うのが主流でした。
しかし、昨今の主流はクラウドサービスで、今までのソフトウェアの利用形態とは全く異なるものになっています。
それにともない、セキュリティに関しても、今までのセキュリティだけでは不十分で、今までは気にしなくてよかったことも気にする必要がでてきました。
今回は、クラウドサービス時代のセキュリティについて説明します。
クラウドサービスとは
クラウドサービスとは、サービス提供者がサーバにインストールしたソフトウェアを、利用者がパソコンやスマートフォンのブラウザ(インターネット閲覧ソフト。Internet ExplorerやGoogle Chrome, Safariなど)やアプリを使い、インターネット経由で利用するサービスです。
有名なクラウドサービスとしては、
- Gmail, Yahoo!メール
- Google カレンダー
- Dropbox, box
などがあります。
また、freeeやマネーフォワードといった比較的新しい会社だけではなく、弥生や勘定奉行などの会計ソフトウェアも現在はクラウドで利用できる形になっています。
クラウドサービス以前は、自分のパソコンにソフトウェアをインストールして利用する形でしたが、これを「インストール型」と呼び、クラウドサービスと比較すると以下のようになります。
下記の表は横スクロールでご確認いただけます
| インストール型 | クラウドサービス | |
|---|---|---|
| 主要なソフトウェアを インストールする人 |
利用者 | サービス提供者 |
| 主要なソフトウェアの インストール先 |
個人のPC 社内のサーバ |
サービス提供者のサーバ |
| 利用者が使用する ソフトウェア |
インストールした ソフトウェア |
ブラウザもしくはアプリ |
| データの保存先 | 個人のPC 社内のサーバ |
サービス提供者のサーバ |
| 購入形態 | 買い切りが主流 | 月額利用料が主流 |
上記の表は横スクロールでご確認いただけます
Gmailをイメージしていただければわかりやすいと思いますが、Gmailはアプリをインストールして使っている方もおられるとは思いますが、アプリを使わなくても、ブラウザがあれば利用できます。
メール機能の主要な部分は、Gmailの提供会社であるGoogleのサーバにインストールされています。メールはすべてGoogleのサーバに保存されていますので、パソコンで見ても、スマートフォンで見ても、同じメールが表示されます。
クラウドサービスの特徴で、理解しておくべき一番重要な点は、データはサービス提供者のサーバに保存されるということです。
インストール型では、利用者のパソコンにデータが保存されていただけですので、そのパソコンのセキュリティだけを考えておけばよかったのですが、クラウドサービスではそうはいきません。
自分のパソコンだけではなく、サービス提供者のセキュリティに目を光らせる必要があります。
サービス提供者のデータの閲覧
まともなサービス提供者であれば、基本的に、利用者のデータの閲覧を行いませんし、そのことを利用規約等に明記しています。逆に言うと、その会社がまともかどうかは、利用者のデータの閲覧を基本的に行わないことを、利用規約等に明記されているかでまず判断できます。
「基本的に閲覧を行わない」としていても、例外は存在します。よくあるのは
- 問い合わせへの返答のため
- 不具合対応のため
- システムの改善、機能追加のため
などです。
システムの開発経験がないと本当に必要なのか?と勘ぐってしまうかもしれませんが、
例えば、不具合対応の場合、通常、利用者から不具合の報告を受けると、利用者の環境ではなく、テスト環境でその不具合を再現させ、原因を探り、修正を行いますが、報告を受けた不具合が、ある一定の入力データでのみ発生するものであった場合は、テスト環境でいくらがんばっても再現させることができません。
その場合、利用者の環境で実際にどういうデータが入っているのか、より具体的にどういった不具合がでるのかを確認することはよくあることです。
また、システム改善に関しては、特定のデータが入った時だけ処理が遅くなってしまうということがコンピューターではよくありがちなことですが、その場合もテスト環境で再現させることはできないため、実際に利用者の環境でどういったデータが登録されているか確認します。
サービス提供者が絶対に利用者のデータの閲覧を行わないといことはありえません。どういったときにサービス提供者が利用者のデータの閲覧をするかは、普通、利用規約等に明記されていますので、契約前にきちんと把握することをおすすめします。
もし、「利用者のデータ閲覧は一切行わない」というサービス提供者があったとしたら、それは、不具合修正やシステムの改善を一切行わないということか、単に虚偽の宣言をしているかどちらかです。
サービス提供者の試金石
クラウドサービスは、通常、IDとパスワードでログインして利用します。
サービス提供者が利用者のデータ閲覧を行う場合も同様で、サービス提供者専用に用意してあるIDとパスワードを使ってログインして、閲覧します。
それとは別に、サービス提供者は、データベースに直接アクセスしてデータを閲覧することもできます。
利用者と同様な方法でアクセスするにしても、データベースに直接アクセスするにしても、重要なのは、サービス提供者のデータの管理方法に問題がないかということです。」
この点については利用規約等に書かれていることはほぼないので、どのような管理が行われているのか直接質問するしかありません。
ただし、その回答自体に問題なかったとしても、実際に回答通りの取り扱いが行われているかは疑いが残るところです。
そこでその目安になるのが、
- ISMS/ISO27001
- プライバシーマーク
といった第三者機関が審査する認証を取得しているかどうかです。
これらのセキュリティに関する認証は、データが適切に取り扱われているかをチェックして行われます。
また、認証取得後も、定期的に監査が入り、ルール通りの運用が行われているかの確認が行われます。
ルール通りの運用が行われていなければ、最悪、認証が取り消されます。
これらの認証を取得しているからと言って、100%安全ということにはなりませんが、クラウドサービスを選択する際の重要な試金石の1つです。
クラウドサービスの注意点
クラウドサービスの中には、「プラグイン」や「アプリ」というもので機能を拡張できるものがあります。これらの機能拡張は、もともとのクラウドサービスのサービス提供者ではない第三者によって作られていることが多いです。
そういった機能拡張ができる場合、サービス提供会社が各々の機能拡張を審査しているかが重要な点になります。
万が一、悪意のある人間がプラグインを作っていた場合、その機能によりデータが盗まれる可能性があります。
また、もともとのクラウドサービスがどれだけ安全だったとしても、プラグインやアプリによりその安全性が毀損されている可能性もあります。
必ず、サービス提供会社により、機能拡張のチェックが行われているか確認してください。
また、あるクラウドサービスを使って、もとのクラウドサービスとは違うクラウドサービスを、もとのクラウドサービスの提供者とは異なる提供者が、サービス提供するということもあります。
その場合も機能拡張と同様なことが言えますが、もとのサービス提供者だけではなく、最終的なサービス提供者のセキュリティ対策も確認する必要があります。
ISMSやPマークといった認証は1つの組織に対して出されるものですので、もとのサービス提供者がISMSやPマークを取得していても、最終的なサービス提供会社には何ら影響を及ぼすものではありません。
まとめ
クラウドサービスでは、データの保存先がサービス提供者のサーバになるため、サービス提供者のセキュリティについても注意する必要があります。
サービス提供者は、利用者のデータにアクセスすることができますので、サービス提供者がどのようなポリシーで利用者データにアクセスするかを把握し、できれば、ISMSやPマークといった認証を取っているサービス提供者のサービスを選択すべきです。
執筆者
株式会社カイラステクノロジー
セキュリティエキスパート
セキュリティ重視のシステム「Armana」の開発、法人向けセキュリティコンサルティングを担当しています。
IT・セキュリティ・高度化するセキュリティ脅威に関する知識と、業務効率を考慮した記事をご提供します。
