クラウドサービス利用において起きては困ること?
クラウドサービス提供において起きては困ること?

クラウドサービス提供時及び利用時のリスクについて考えます

提供における21のリスクをベースに洗い出し
利用における35のリスクをベースに洗い出し
JIS Q 27017実施の手引き・
管理策との結びつきを考えます



クラウドサービス利用は『重大な変化』です
ISMS 8.2:組織は、あらかじめ定めた間隔で、又は重大な変化が提案されたか若しくは『重大な変化が生じた場合』に6.1.2 a)で確立した基準を考慮して、情報セキュリティリスクアセスメントを実施しなければなりません

  • クラウドサービスの普及により何が起こっているか?
  • クラウドサービス利用時も既存のルールは有効に機能するか?
  • クラウドサービス利用により責任が曖昧になっていないか?

などを観点に考えてみることが大切です



サービス利用時のリスクを考えるときの注意点


以下の3つのタイプがあります
それぞれのタイプに分けて考えてみることが大切です

①エンドユーザとしてクラウドサービスを利用している場合
②SaaSとして別のクラウドサービスを利用している場合
③社内のシステムをクラウドに移行しプライベートクラウドとして利用する場合

すでにエンドユーザへのクラウド普及は劇的に進んでいます
ISMS認証企業は『見直し・改善』が必要です

エンドユーザがクラウド認証を取得することはないと思われますが
クラウド利用におけるリスクを考え管理策を実装する必要があります



今現場で起きていること
起きては困ること

SaaS利用におけるリスク

経産省:ガイドラインリスクと対策
クラウドサービスにおけるリスクと管理策に関する有識者による検討結果
クラウドサービスプロバイダのリスクより考える

ENISA(欧州セキュリティ庁)による分析結果『ENISA209』を基に考えます