みなさん、こんにちは。スカイゲートテクノロジズのサイバー事業部です。Google Drive使ってます?便利ですよねぇ。弊社でもGoogle Workspaceを全面的に導入しており、ガッツリ利用しています。社内には、Google Drive利用歴が15年を超える選手も何人か・・・。そんなGoogle Driveですが、便利な反面、管理するのって結構面倒ですよね。セキュリティ対策は絶対やらなきゃですし。というわけで、今日は、「クラウドストレージとセキュリティマネジメント」というお話です。ISMSとクラウドストレージこれからISMS認証を取得しようとしている方は、Google Driveやその他のクラウドストレージがネックになるのでは?と考える方もいらっしゃるかもしれません。また、すでにセキュリティマネジメントシステムを確立していても「Google Drive、どないすればいいんや・・・」と思っている方もいらっしゃるかもしれませんね。結論から言えば、ISMSの構築とクラウドストレージの利用は両立します。というよりも、全く問題ありません。クラウドストレージは、数多くある情報資産の保管場所の1つに過ぎません。ISMSは、情報資産を中心としたセキュリティマネジメントの仕組みです。どの情報資産が、どこに保管されているかに応じてリスクを評価し、対応を決めるのであって、クラウドストレージだからダメ!ということにはなりません。また、ISMS認証取得時にも問題になることはありません。クラウドストレージのセキュリティは?とはいえ、どのようなリスクがあるのかを評価するためには、クラウドストレージ側のセキュリティ対策がどうなっているのかを知る必要がありますよね。ここで、代表的なクラウドストレージのセキュリティ対策について列挙してみました。※ここに記載されている情報は、2022年6月現在の当社調査によるものです。公式な情報は、それぞれのクラウドストレージサービス提供事業者に確認してください。また、それぞれのサービスはそれぞれの商標です。Google Driveクラウドストレージの代表格といえば、Googleが提供するGoogle Driveです。個人用のものと、法人を対象としたGoogle Workspaceに付属するGoogle Driveの2種類があります。ここでは、後者を対象とします。強力な認証、ユーザーやグループ毎のアクセス制御が可能ISO27001, ISO27017, ISO27018の認証取得済み、SOC2/SOC3レポートを取得ずみBusiness Standardプランでは監査ログの保存と検索が可能さらに上位のプランではDLPや証拠能力のための機能が追加利用プランによってできることが異なりますが、エンタープライズ企業でも採用されていることもあって、非常に強力です。セキュリティマネジメントの中で、リスクに対応することが難しいケースはそうそうないのではないでしょうか。ただ、次のような点で、従来のストレージサービスと対応を変える必要があるかもしれません。Google Drive単体ではIPアドレス制限がないデータリージョン(保管場所)を日本のみに絞ることができないこの辺りは、情報システム部門の運用やリーガル部門の判断から総合的に評価すべき点です。OneDrive (Microsoft365)もう1つの代表格といえば、Microsoft 365のOneDriveです。こちらも、個人用のものと、法人を対象としたOneDrive for Businessに分かれています。SharePointと連動する場合もありますので、ここでは共通的な事項に記載を留めます。強力な認証、ユーザーやグループ毎のアクセス制御が可能IPアドレス制限、ローカルフォルダとの同期制限ISO27001, 27017, 27018の認証のほか、SOC1/2/3など多くのレポートを取得済み監査ログ機能あり(ただしライセンスにもよる)Microsoft 365のセキュリティ機能と組み合わせることで、DLPや情報保護機能も追加が可能(E3やE5などに含まれる)こちらも、世界中のエンタープライズ企業での採用実績があり、セキュリティに必要な機能は十分に盛り込まれていると言えます。ライセンスや構築の形態によってはできることの制限もありますので、情報システム部門を主体にリスク管理をする必要があります。リスクマネジメントで注意すべきポイントは?これらのクラウドストレージでは、従来の社内共有ストレージなどと異なる点でいくつか注意すべき点があります。ISMSでは、次の部分がポイントです。ファイルの機密性を保持するためのアクセス制御と制限ポリシー データの機密性を維持するのは、ローカルでもオンプレミスでもクラウドであっても、アクセス制御が基本です。情報資産の機密性の度合いに応じたリスクをフォローできるよう、アクセス制御やポリシーを文書で定め、現場で実施する必要があります。アクセス制御漏れはよく知られるリスクの1つですから、しっかりカバーしたいですね。外部への共有管理 クラウドストレージでは一般的に外部へのファイルの共有が可能です。メールの添付よりは安全ですが、場合によっては大きなリスクになります。従業員の教育、ポリシー設定、監査など、いくつかのアプローチでリスク対応を考えることが必要になります。バックアップ 多くのクラウドストレージは、一般的なオンプレミスのストレージより遥かに高いサービスレベル(稼働率)を誇っています。一方で、絶対に障害が発生しないというわけではありません。重要な情報資産の場合、障害発生時のリスクを考慮する必要があるでしょう。また、個人の誤削除、ユーザーやグループの誤削除に伴うリソース削除などもリスクとして挙げられます。今回は3つ記載しましたが、多くの点で、現代のクラウドストレージサービスは、強力なセキュリティが組み込まれており、生じるリスクはオンプレミスに比べて増大するとは限りません。むしろ、クラウドストレージを使いこなせるかどうかが会社側のリスクマネジメントがポイントになります。まとめISMSとクラウドストレージは両立するし、利用の問題は特にない著名なクラウドストレージサービスは、セキュリティ機能が十分に備わっているクラウドストレージ固有のリスクを見定めて、使いこなすのが大事以上、いかがだったでしょうか?新型コロナウイルスの感染拡大に伴って、新しい働き方の中でクラウドストレージの存在感は数年前より遥かに増大した印象があります。いつでもどこでも最新のファイルを共有し使うことができる利便性は、一度慣れてしまうと手放すことは出来ませんよね。弊社では、Google DriveやOneDriveなどクラウドストレージのリスクマネジメントを手掛けています。ISMS認証取得支援でのお手伝いはもちろん、「Google Driveの共有状態、どう管理すればいい?」といった運用のお悩みの支援も行なっています。自社でも日々研究を重ねており、お客様にとって快適なクラウドストレージを、さらにセキュアな状態で提供するためのお手伝いが可能です。ご相談は以下にていつでも承っています。