クラウドサービスにおけるセキュリティ

SaaSを中心としたクラウドサービスの普及に伴い、セキュリティに関する問題が大きな注目を集め始めています。クラウドサービスは初期投資なしで、少額の利用料だけで使い始められ、インターネットを通じて利用できるなど、多くのメリットがあります。ただし、同時にセキュリティリスクも存在します。

本記事ではクラウドサービスを提供する企業が取るべきセキュリティ対策を概観した上で、各種セキュリティ認証について説明していきます。なお、今回のテーマについてはSkygate Technologies CEO 粟津氏にもご協力を頂き、セキュリティの実態にも即してまとめていきます。

スカイゲートテクノロジズ株式会社 CEO/Founder 粟津 昂規氏

元陸上自衛隊 通信・サイバー担当 (陸幹候12BU 通信科)/セキュリティエンジニア/現経済産業省 サイバーセキュリティ研究会 宇宙産業SWG部員

防衛省・自衛隊で通信・サイバー領域を担当。 市ヶ谷・大臣直轄部隊で勤務ののち、退官。 国内クラウド会計ソフトのスタートアップに転職し、 エンジニア、セキュリティマネージャー、金融庁規制対応、 PdM等を上場まで務める。 2020年に退職し、スカイゲートテクノロジズを創業。

クラウドサービスのセキュリティリスク

セキュリティと言っても、ビジネスサイドやプロダクトマネージャーからはどんなリスクがあるのか、ブラックボックスになりがちです。改めて具体例を上げると、クラウドサービスには以下のようなセキュリティリスクが存在します。

• データ漏洩：サーバーやストレージが外部から攻撃を受け、ユーザーの個人情報や機密情報などが漏洩すること
• サービス停止：システムに障害が発生した場合、サービスが停止するため、ビジネス上の損失が発生すること
• サプライチェーン攻撃：本来侵入が難しいセキュリティレベルの高いターゲット組織でも、比較的セキュリティレベルの低い取引先や子会社などを経由することで、ターゲット組織への侵入を可能にすること

セキュリティ対策の具体的な取り組み

これらのリスクに対して、クラウドサービスのセキュリティを担保するためには、以下のような具体的な対策が必要となります。

・アクセス制御

クラウドサービスの提供にあたっては、クラウドサービスを実行するインフラやアプリケーションなどのアクセス制御を適切に行うことが重要です。ユーザーから預かったデータが不用意に外部に漏洩したり、意図せず出力されることがないように様々なレベルでアクセス制御を導入することになります。また、ユーザーに提供する機能としても、権限や共有範囲のような機能を提供することは珍しくありません。

・ネットワークセキュリティ

クラウドサービスにおいては、ネットワークセキュリティを強化することも必要です。具体的にはファイアウォールやWAF（ウェブアプリケーション ファイアウォール）などによる不正アクセスの遮断、CDNなどを用いたDDoS攻撃（不用意に負荷をかけるアクセスを大量に行うことで攻撃を行う手法）対策などがよく行われます。

・データセキュリティ

クラウドサービスにおいて、ユーザーのデータに関するセキュリティも大切です。具体的には、データの暗号化やバックアップの実施などを行うことが必要です。また、データの取り扱いについてプライバシーポリシーを策定し、ユーザーに明確に説明することはすでに広く普及していると言えるでしょう。

セキュリティ対策の定期的な見直しと改善

クラウドサービスにおいては、セキュリティ対策の見直しと改善を定期的に行うことが必要です。具体的には、セキュリティレビューの実施や、脆弱性診断・対策、セキュリティポリシーの策定などを行い、常に最新のセキュリティ技術に対応することが必要です。

改めて、プロダクトマネージャー目線で上記の具体的な取り組みをみると、これらの項目に十分な工数を避けているか、ビジネス要件から仕様を設計する上でセキュリティ要件を加味できているかなどが重要なポイントになってきます。

PMFするまで（スタートアップにおけるシード〜プレシリーズA）は、セキュリティ対応よりもユーザーへの本質的な価値創造に向けた機能開発に重点がおかれます。しかし、B2Bを主体としたクラウドサービスでは、最初からセキュリティを考慮して設計したり、開発予算を見積もっておかないと、エンタープライズに展開してもセキュリティがボトルネックになってしまい失注に直結してしまうので、注意が必要です。

粟津氏のコメント

クラウドサービスのセキュリティ対策は提供する機能の拡充やユーザー層の成熟・規模拡大に応じて段階的に対策していくことが一般的です。とはいえ、なかなか全てのセキュリティ対策に手をかけることは難しいため、情報漏洩に直結するアクセス制御やサービス中断に繋がるDDoS対策などを優先的に手当していくことになります。

特にスタートアップの場合、開発リソースが十分にないことも多いため、セキュリティ関連は白紙ということも珍しくありません。サービスを提供する顧客の業種や規模に応じてセキュリティに関する要件などを予め想定しておき、セキュリティ対策や機能の不足が商談の際に障害とならないよう、ビジネスサイドの動きを見ながら開発計画などを随時アップデートすることが望ましいです。

クラウドサービスが準拠する可能性のあるセキュリティ認証

クラウドサービスを提供する企業は、セキュリティに対する信頼性を高めるために、第三者機関によるセキュリティ評価を受けることが一般的になっています。クラウドサービスプロバイダーのセキュリティ認証について見ていきましょう。

ISMS（ISO27001）

ISMS（Information Security Management System）は、情報セキュリティマネジメントシステムの略称で、情報セキュリティを実現するための組織内のルールや手順を策定する枠組みです。ISMSには情報セキュリティポリシーやリスクアセスメント、情報セキュリティ対策の計画や実施、監視・評価、改善などが含まれます。

ISMSはISO27001（International Organization for Standardization）に基づくものが多く、国内においてISMSといった場合、一般的にISO27001に準拠したことが認められるISMS適合性評価制度のことを指し、ISMS認証などとも呼ばれます。 この規格は、国際的なもので国内では知名度が高く、国内では多くの企業や組織が取得していますが、実はアメリカではあまり取得されていません。

例えば、SMB企業が取得する場合には、半年から1年程度の準備期間と準備にまつわるコンサルティング費用が100−150万円程度、さらに30万円ほど申請費用がかかります。取得後は年間30万程度の維持費がかかります。 基本的に会社規模と事業所数に応じてコストが上がっていきます。社内にセキュリティに詳しい人材がいる場合には、コンサルティング費用を中心に大幅にコストカットができます。

ISO 27017

ISO 27017は、クラウドサービスに特化したISMSの一種と捉えることができます。ISO 27017は、クラウドサービスプロバイダーが提供する情報セキュリティに関するガイドラインであり、一般的なISMSと異なる点としてクラウドコンピューティングに特有のリスクやセキュリティ上の課題に対処するための推奨事項が含まれている点が挙げられます。例えば、仮想化技術に関するリスクや、マルチテナントによって発生する可能性のあるセキュリティ上の課題などが含まれています。

この規格はクラウドサービスプロバイダーが情報セキュリティのリスクを適切に管理し、データの保護、アクセス制御、システムの可用性、そして法的要件の遵守を確保するための標準的な手順を提供します。これにより、クラウドサービスのプロバイダーはセキュリティ関連の懸念を軽減し、顧客に安心してサービスを提供できるようになります。

ISMSと同じく、取得は難しいものではなく、費用感も同程度です。ただし、クラウドサービスの場合、開発をオフショアしている場合やカスタマーサクセスは別会社にBPOという形で提供している場合があり、これらの場合は別途費用がかかることがあります。

ISMAP

ISMAP（Information Security Management Assessment Program）は、日本政府が定めるセキュリティ要求に対してクラウドサービスがその要求を満たしているかどうか評価する制度で、2021年ころよりスタートした比較的新しい制度です。アメリカの制度であるFedRAMPという政府でのクラウドサービス利用におけるリスク管理制度を手本にしています。

この制度は、政府向けのものであり、デジタル庁など官公庁向けにサービスを提供する場合、取得が必要になってきます。官公庁の調達などでクラウドサービスを提供し契約する場合に入札の要件となったり、ISMAPに登録済みのサービスである場合にはリスク評価のプロセスが不要になるなどのメリットがあります。ISMSやISO 27017と異なり、認定を受けるための基準も多岐にわたり、なおかつ費用も高額（初年度500-1000万円程度、翌年度以降は1000万円程度）です。シリーズAやBぐらいのフェーズで運用やコストに耐えるのは難しく、それ以降の検討にならざるを得ないでしょう。

SOC（Service Organization Control）

SOCは、アメリカの公認会計士協会（AICPA）が策定したサービス提供組織の内部統制に関する報告書です。SOCにはSOC1、SOC2、SOC3があり、それぞれ異なる評価項目が設定されています。すべて監査法人が発行するレポートで、例えば、SOC1、SOC2をまとめて対応してもらえることもその特徴になります。

また、監査法人が発行するレポートであり、国際的に効力があります。大手金融機関向けにクラウドサービスを提供する場合、SOCを取得していないことが、直接失注要因になります。初年度はその時点におけるセキュリティ評価を行い、費用は500-1000万程度で、翌年度以降は期間評価によりレポートを発行するため、少し費用感が上がり、1000万程度になります。なお、取得に向けた準備は1年半ぐらいはかかることが多いです。

SOC1

SOC1は、以前はSAS70（Statement on Auditing Standards No.70）と呼ばれていたものであり、サービス提供組織の内部統制に関する報告書です。SOC1レポートは企業の財務会計に影響を与える業務プロセスに関連する内部統制を評価するために使用されます。売上やARRに影響するようなマスターデータをもっている状態だと、間違いなく求められます。

具体的な使い方として、会計領域のSaaSが取得している場合、エンタープライズユーザーが監査を行う際、利用しているSaaSの部分の監査についてはSOC1のレポートで代用することになります。逆にSOC1を取得していない場合、エンタープライズユーザーは利用しているSaaSについても自身で監査を行い、評価を受けることになります。

SOC2

SOC2は、クラウドサービスの情報セキュリティ管理体制を評価するための監査基準です。サービス提供組織の情報セキュリティ、可用性、機密性、プライバシー、処理の完全性の評価に焦点を当てています。SOC2レポートの取得には、サービス提供組織の内部統制が有効に機能していることが必要であり、取得の難易度は高いと言えます。しかし、BoxやSalesforceなど、機密情報を多岐にわたって取得し、管理、利用するクラウドサービスが取得することで、情報セキュリティの観点で監査を代替できます。気密性の高い情報を扱う上場企業をユーザーに抱えるクラウドサービスは積極的な取得が推奨されます。

基本的にはSOC2もSOC1と同様の費用がかかります。ただし、SOC2の範囲（トラスト原則というのが5つあり、1つだけ準拠するのか、全ての原則に対して評価を受けるのか、その範囲を指定できます）を減らしたり、あるいは追加したりできるため、SOC2はSOC1に比べると費用感に幅が生じるのが特徴です。

SOC3

SOC3は、SOC2と同様に、サービス提供組織の内部統制に関する報告書ですが、SOC2に比べて簡素化された形式で提供されます。SOC3レポートは、一般的な顧客やパートナーなど、広範な関係者に対して提供されることが多く、社外秘の情報を含まない公開可能なレポートです。B2Bを主体として展開しているクラウドサービスにとっては、一般向けの規格になるため、取得が不要となるケースが多いでしょう。

Pマーク（プライバシーマーク）

最後に、Pマークは、個人情報を適切に管理する仕組み（PMS）に関する制度です。国内でISMSに並び知名度が高く、国内では約2万社ほどが取得していると言われます。特に個人情報を取り扱う事業では重要になりますが、情報システムやクラウドサービスに限った制度ではありません。なお、費用感はISMSと同程度になります。

各種認証取得の方針

まず、プロダクトマネージャーとして、PMFまでは機能開発に重点を起きつつも、エンタープライズへの展開が見えてくる前から意識を高めておく必要があります。いきなり取得を進めるのではなく、ユーザーとのSLAを明確にしたり、ユーザーが要求するチェックリストの回答で代替することをお勧めします。受注の増加に伴い、ユーザーからセキュリティチェックリストが共有される機会が増え、個別対応が難しくなってきたタイミングで、認証の取得を検討すると良いでしょう。

その際、まず検討すべきは会社としてISMSを検討し、次いでクラウドサービスに特化したISO27017を検討することになります。両方とも、準備や費用感から規模が小さいスタートアップでも取得でき、審査も数日で終わるからです。次いで、国際的なSOCに準拠するのが望ましいです。

とはいえ、スタートアップには準備や費用など多大なコストがかかる制度ですので、クラウドサービスの利用料とは別に、その10−20%ほどセキュリティの対応費用として負担してもらうことも1つのオプションになります。最後に、早くから上記認証を取得することはデメリットばかりではなく、組織が小さければ、セキュリティ監査の審査料も相対的に安価になるため、組織が大きくなる前に取得してしまうのも選択肢の1つと言えるでしょう。また、例えばISMS、ISO27017、双方とも一度認証を取得すれば、3年は原則として維持されます。

少しまとめると、スタートアップや新規事業にとって認証の取得に向けた準備や費用は負担になってしまうので、まずはSLAやユーザーが要求するチェックリストの回答で切り抜ける道を模索すると良いと思います。その上で、ユーザーの増加に伴い、個別対応が困難になってきたタイミングで、ISO27017、SOC1・SOC2の取得を目指すことをお勧めします。

粟津氏のコメント

顧客から求められる機会が多く、かつ、取得しているだけで比較的対応できる幅が一番広いISMSが最初に検討する内容になります。官公庁入札でもISMSを要件にしているものも多いです。とはいえ、サービス内容や業種業界によって、求められる要件とそのインパクトが異なるため、特にセキュリティ対策に敏感なエンタープライズ案件が想定されている場合には、顧客がどのようなコンプライアンスやセキュリティ対策を求めているかをリサーチして意思決定することが重要です。金融、医療、安全保障などの分野では、それぞれの規制法に基づくガイドラインなどが別にあり、また海外展開を視野に入れるとGDPRなどへの対応も必要になります。

まとめ

本稿では、クラウドサービスを提供する場合のセキュリティについて、その重要性や対策方法、セキュリティ認証について説明してきました。ユーザー数の増加に伴い、個別対応が難しくなってきたタイミングで、クラウドサービスプロバイダーが取得することが望ましい認証として、ISO27017、SOC、SOC2の順で取得を検討するとよいでしょう。

今後のクラウドサービスの発展に伴って、セキュリティリスクにも認識が高まり、認証取得を含め、セキュリティ対策を講じていく必要が高まっていくことが想定されます。クラウドサービスのプロバイダーは、セキュリティ対策に関する情報を積極的に提供し、利用者も自らのセキュリティ対策を徹底することで、より安心してクラウドサービスを利用することができるようになり、さらなる発展に期待したいです。