契約実務

SaaS利用者/事業者が知っておくべきクラウドセキュリティの確かめ方と高め方 —第1回　第三者認証に依存しない担当者になる方法

2021.08.25更新

今回から、「SaaS利用者/事業者が知っておくべきクラウドセキュリティの確かめ方と高め方」とのタイトルで連載記事を寄稿させていただきます。法務をはじめとした管理部門の皆さんにとって、セキュリティは日々の業務の中で関係することも多い隣接分野かと思います。本連載を通じて一緒に悩み議論することができれば嬉しいです。

連載開始のご挨拶

皆さんはじめまして、インハウスハブ東京法律事務所で弁護士をしている世古修平（せこしゅうへい）と申します。普段は主にセキュリティ、プライバシー領域に関する仕事をしています。また兼業として、インターネットサービス企業での情報セキュリティ部門や、IPA独立行政法人情報処理推進機構での試験委員の仕事もしています。

今回サインのリ・デザインの編集長である橋詰さんからお話をいただき、クラウドサービスのセキュリティに関する連載記事を寄稿する機会をいただきました。法務部を中心とした管理部門の皆さんを想定読者として設定し、今回から6回に渡って連載をさせていただきます。

書きたいこと

この連載については、「クラウドサービスのセキュリティに関する分析、時事の報道、批評、提言」とのテーマ以上に書くべき内容について指定は受けておらず、橋詰さんからは、

クラウドサインのような、SaaSを利用する前提となるクラウドセキュリティについて、企業の管理部門の方々に役に立つ情報提供をしたい
SaaS事業者への忖度は無しで
記事からクラウドサインを利用するよう読者を誘導していただく必要も無し

とのお話をいただいています。

せっかくお話をいただいたので、連載では私だからこそ書けるような内容にフォーカスしていきたいと思っています。私は勤務先のインターネットサービス企業において業務を行う中で、又は弁護士業務においてクライアント企業から相談をいただく中で、「クラウドサービス事業者」としてのセキュリティについて検討を行ったり、あるいは逆に「クラウドサービス利用者」として他社のクラウドサービスについて検討を行ったりしています。

このように、

クラウドサービス事業者
クラウドサービス利用者

の両方の立場で検討を行なっている経験を踏まえて、クラウドサービスのセキュリティについて両方の視点から、実務上の悩ましい点に焦点をあてた記事を書きたいと思っています。

書きたくないこと

勤務先のインターネットサービス企業には、

管理系のセキュリティを担当する部門
技術系のセキュリティを担当する部門

がそれぞれ存在し、そこに

法務部門

を加えながら３部門が連携して事業部門のサポートを行っています。私は「管理系のセキュリティを担当する部門」に所属する弁護士として、「技術系のセキュリティを担当する部門」のセキュリティエンジニアや「法務部門」の法務部員と連携しながら日々の業務を行っています。

日々の業務を行う上では、「技術に対して誠実でありたい」「安易に役割分担と言いたくない」との思いから、法律だけでなく技術についても勉強は欠かさないように心掛けています。部門にまたがるポテンヒットは拾えるようにありたいし、今までにない価値を発揮するためには部門をまたがるような越境的な動き・発想が重要だとも考えています。

他方で、普段の業務において「餅は餅屋」と言う気持ちも強く持っており、一緒に働くセキュリティエンジニアや法務部員の存在や判断を尊重しています。本連載では「私だからこそ書けるような内容にフォーカスしていきたい」との思いから、セキュリティ技術そのものについての紹介、より直接的に言えば背伸びをした技術解説のようなものは極力避け、

日々の業務の中で頭を悩ませている問題
同僚やクライアントと議論して辿り着いた自分なりの結論

等に紙幅を割いていきたいと思っています。

他の文書を引用する場合には「正確さ」「権威性」よりは「わかりやすさ」「手軽さ」を重視して、読者の皆さんが次の1冊に進みやすいような引用を心がけたいと思います。普段「どの様なソースから情報収集しているのか」という質問をいただくこともあるので、連載期間中に読んだ書籍・Web記事・ツイート等からの引用も積極的にしていきたいと思います。

定義

ここまで特段定義せずに「クラウド」との言葉を使ってきましたが、スコープを明確にする意味でも定義をしておきたいと思います。とはいえ、今回の連載は「クラウドとはこうあるべき」といった上級な話をしたい訳ではなく、「法務をはじめとした管理部門において、日々の業務の中で一般に”クラウド”と呼ばれている悩みの総体に対して、”書きたいこと”に記載した内容を検討したい。」というものです。

そこで、定義は「クラウドサービス提供における情報セキュリティ対策ガイドライン（第３版）(案)」（以下、総務省ガイドラインという。）記載のものを使うことにします。

クラウドコンピューティング
- 共用の構成可能なコンピューティングリソース（ネットワーク、サーバ、ストレージ、アプリケーション、サービス）の集積に、どこからでも、簡便に、必要に応じて、ネットワーク経由でアクセスすることを可能とするモデル。実装モデルとして、プライベートクラウド、コミュニティクラウド、パブリッククラウド及びハイブリッドクラウドがある。
クラウドサービス
- クラウドコンピューティングが提供するサービス。SaaS/PaaS/IaaSのサービスモデルがある。

本連載では主として「パブリッククラウド」「SaaS」を念頭において議論しますが、明確にどれかに焦点を当てたい又は除外したい場合にはその旨明示することにします。

本連載の予定

本連載では、以下のようなテーマで記事を書いていくことを想定しています。

クラウドサービスのセキュリティ
- クラウドセキュリティの考え方（第2回）
- 総務省ガイドラインの読み方・使い方（第3回）
- クラウドサービス利用者におけるクラウドセキュリティの確かめ方（第4回）
- クラウドサービス事業者におけるクラウドセキュリティの高め方（第5回）
クラウドサービスの個人情報、プライバシー
- クラウドサービスにおけるの個人情報、プライバシーの考え方（第6回）以下、順を追って簡単に説明していきます。

クラウドセキュリティの考え方（第2回）

まずは、「クラウドセキュリティの考え方（第2回）」です。「クラウドはセキュリティが不安」というクラウド黎明期に良く聞いた言葉を出発点に、この言葉の真の意味を探ります。

その上で、クラウドサービス利用者・クラウドサービス事業者双方がこの言葉とどのように付き合っていくべきなのかを検討します。

総務省ガイドラインの読み方・使い方（第3回）

次に「総務省ガイドラインの読み方・使い方（第3回）」について検討します。現在（＝執筆時点である8月上旬）、ちょうど総務省ガイドラインが意見募集を行っています。時期的にもちょうど良いので、まずはこの総務省ガイドラインを簡単に紹介した上で、クラウドサービス利用者・クラウドサービス事業者の双方がどのようにこの資料を活用することができるかを検討します。総務省ガイドラインは参考になる良い資料だと思いますので、連載に先駆けて読んでいただくのも有意義だと思います。

当該検討を踏まえ、クラウドサービス利用者・クラウドサービス事業者が、セキュリティ認証や各種フレームワークとどのように付き合っていくべきなのかについて検討を行います。

なお、私は「総務省ガイドラインの内容が素晴らしい」「このガイドラインさえ守っていれば大丈夫」と考えている訳ではありません。他方で、このような総務省の取り組みは意味のあることであり、クラウドサービス利用者・クラウドサービス事業者双方で推進していくと良いのではないかとも考えています。このように考える理由についても本連載の中でご説明します。

クラウドサービス利用者におけるクラウドセキュリティの確かめ方（第4回）

続いて「クラウドサービス利用者におけるクラウドセキュリティの確かめ方（第4回）」を検討します。

ここまでの連載を踏まえてクラウドサービス利用者である企業の担当者が理解しておくべきことを整理した上、クラウドサービス利用者である企業の担当者がクラウドセキュリティをどのように確かめていけば良いかについて私なりの提案を行います。本連載の想定読者が法務部を中心とした管理部門の皆さんであることから、私が法律畑の人間としてキャリアをスタートし、どのようにセキュリティを学んでいったかも共有します。

業務上の必要性も手伝って、セキュリティ部門ではないがセキュリティを学びたい・学ばなければならない人は多いのではないでしょうか。そのような皆さんが次の一歩を踏み出す手助けになるような記事にできればと思っています。

クラウドサービス事業者におけるクラウドセキュリティの高め方（第5回）

その上で、「クラウドサービス事業者におけるクラウドセキュリティの高め方（第5回）」を検討します。

企業に対するセキュリティへの要求は非常に強いものだと感じます。経営層や事業部門からも、セキュリティの重要性という総論部分について反対の意見が示されることは殆どありません。他方で、では実際に「何を」「どの程度」やるかという各論部分の検討を進める上では困難な課題が多数存在します。

ここでは、その困難な課題とどう向き合っていくべきかを検討します。具体的な「何を」「どの程度」やるかという制度的な話と合わせて、よりソフトな領域、コミュニケーション部分についても検討します。例えば

対経営
- 「セキュリティを投資と捉えることが重要」のような説明の妥当性
対事業部門
- 「事業部門が相談してこない」の建設的な解決方法
対技術部門
- インシデント発生時における技術者倫理と事業者論理

なんかは、面白い検討ができるのではないかと考えていますので、第5回の記事納品日までに温めておきたいと思います。

クラウドサービスにおける個人情報、プライバシーの考え方（第6回）

最後に、「クラウドサービスにおける個人情報、プライバシーの考え方（第6回）」を検討します。

クラウドサービスには個人情報保護法上の各種規制が関係してきます。まずは、これら法律上の重要な概念や考え方について検討を行います。直近では多くの皆さんが令和2年改正の対応に追われていることと思いますので、令和2年改正対応を行う上で悩ましい部分なども掘り下げてこうと考えています。

その上で、プライバシーについての検討を行います。クラウドサービス事業者は日々ユーザーとの対話を通して、プライバシーについて自社に求められていることを必死に探っているのではないでしょうか。「グレーゾーン」のような言葉がよく使われた時期もありました。しかし（そもそも本当にグレーだったのかという話はありつつ）「グレーゾーン」という言葉の背後にある、プライバシーに関して外部にOK / NGの明確な基準を求めるような考え方は筋が悪いと思っています。

昨今の事例なども踏まえながら、クラウドサービスに求められる対応について検討します。