契約実務

SaaS利用者/事業者が知っておくべきクラウドセキュリティの確かめ方と高め方 —第4回　クラウドサービス利用者におけるクラウドセキュリティの確かめ方

2021.10.06更新

今回は、クラウドサービス利用者としての立場から、どのようにクラウドサービスのセキュリティを確かめていけば良いのかを検討します。

こちらについては、本連載の第2回「クラウドセキュリティの考え方」において、以下のような整理を試みました。

クラウドサービス利用者が、「クラウドはセキュリティが不安」と言う背景には、クラウドサービス利用者における何らかの能力の不足があるのではないか
何らかの能力の不足は、組織の観点・個人の観点に分解して考えると良いのではないか
- 組織の観点では、クラウドサービス一般を管理するための制度が不足しているのではないか
- 個人の観点では、当該クラウドサービスのセキュリティを理解するための知識が不足している（知識を有する者は存在するが偏在している）のではないか

そこで今回はこの「組織の観点」「個人の観点」の２つを深掘りして検討します。

組織の観点：クラウドサービス一般を管理するための仕組み

総論：仕組みの必要性

「クラウドサービス一般を管理するための仕組み」については、従前からセキュリティ文脈で「シャドーIT」という言葉とともにその必要性が主張されてきました。また近年では、令和2年改正個人情報保護法への対応でも同様の仕組みが必要であることが明確になりました。まずは、この点をそれぞれご説明します。

セキュリティ文脈

シャドーITとは、「組織側が把握せずに従業員または部門が業務に利用しているデバイス機器やクラウドサービス」（ニューノーマルにおけるテレワークと IT サプライチェーンのセキュリティ実態調査。以下、IPA実態調査という。）のことをいいます。

このIPA実態調査では、「テレワークへの急速な移行に伴い、取引先に影響を及ぼしうる内部不正（秘密の不正持ち出し、シャドーIT 利用等）が増えるのではないか」との仮説の下、各種の調査結果がまとめられています。

シャドーITは組織側の統制が及ばないため対策が不足しやすく、過失による情報漏えいリスクが高まります。また、故意によるケースとしては、従業員による不正利用や退職後の情報持出しがあります。

実際に2021年には医師など専門家が個人のクラウドサービスに情報を保存し、過失により当該情報が漏えいするというニュースも複数続きました。また直近では、（再）委託先の従業員が個人アカウントのクラウドサービスに情報をアップロードしていたというニュースも報道されました。

個人情報保護文脈

続いて個人情報保護文脈では、令和2年の個人情報保護法改正があります。

詳細は第2回で既にご説明したので割愛しますが、クラウドサービス利用者はクラウドサービス事業者の運営するサーバに個人データを保存する場合、まずこれらのクラウドサービスを網羅的に捕捉した上で

A国（サーバの運営事業者が存在する国）の名称
B国（サーバが所在する国）の名称
A国、B国の制度等
必要な安全管理措置

を把握・管理する必要があります。網羅的にこの把握・管理を行うことはなかなか大変そうだということは想像できます。

各社のSaaS管理サービス

シャドーITに対応するための製品として、従来からCASB（Cloud Access Security Broker。キャスビーと発音します）という類型の製品が展開されてきました。また、最近では2021年夏頃から国内で

「SaaS管理サービス」という表現でのマネーフォワード IT管理クラウド
「ITデバイス & SaaS 統合管理クラウド」という表現でのジョーシス

のようなサービスの発表も続きました。

これらが令和2年改正個人情報保護法まで見据えてリリースされたのかは不明です（恐らく違うと思います）が、担当者個人による手作業での管理はいずれ限界が来ます。私は両サービスについて詳細を理解する立場にはありませんが、コンセプト的には必要なサービスが必要なタイミングで出てきたなと感じています。

各論：仕組みの構築に向けてすべきこと

仕組みの必要性が確認できたところで、続いて仕組みを根付かせる上で必要なことを検討していきます。

公然の秘密

まず、前提として個人情報保護法上の「個人情報」の定義をしっかり社内に周知する必要があります。私は「殆どの従業員が個人情報の定義を正しく理解していない」という公然の秘密を、そろそろ皆で真正面から受け止める必要があると考えています。法務の人でさえ、誤解しているケースはそれなりに多い印象です。

「個人情報とは特定部分を指すのではなく、そのまとまりを指すんですよ」「うちの会社で言えば、ユーザーIDに紐づいている情報は基本的に全て個人情報ですよ」ということを定期的に説明しましょう。実務上「特定の部分が単独で個人情報に該当するか否か」という議論が意味のあるケースはそれほど多くありません。「それじゃあ企業内にある情報なんて殆ど個人情報じゃないですか。」「その通りです。だからそれらが全て個人情報に当たることを前提に、リスクに応じた対応を検討しましょう。」という会話までがワンセットだと思っています。

実際、2020年には、インシデントの発生時に有力なインターネットサービス企業から「一般的なIPアドレスから、個人情報を特定することはできません。」といったリリースが出されて議論を呼んだ事がありました。個人情報の定義が各人によって区々だと、各人がそれぞれ自分の信じる「個人情報」の定義に基づいてレポーティングを行います。このような状況ではインシデント発生時に会話が噛み合わないため、事実確認が正しく行えず本当に困ります。

インシデント発生時のコミュニケーションは第5回で検討したいと思いますが、インシデント発生時には社内で行うべきことが山積みの中、官公庁・メディア・ユーザーから様々なご意見・要求をシビアなタイムリミット付きでいただくことになります。繰り返しになりますが、個人情報の定義の再確認は平時のうちに対応しておくことをお勧めします。

この対応を行う上で、参考になりそうなTipsをいくつかご紹介します。

個人情報の定義を正しく認識してもらうための作業は、相手の誤解を解くことから始めなければなりません。そのため相手からは「そのような個人情報の定義には納得ができない」という反論を受けることがよくあります。私は「日常用語の個人情報」「法律用語の個人情報」などといった表現を便宜的に用いて説明することで、相手の持っている個人情報の定義を尊重しつつ、それは日常用語としての使い方であって法律上（個人情報保護法上）の定義とは違うのだという説明をすることがあります。

また、個人情報に当たらない情報の具体例をきちんと説明することも有用です。ここでのアンチパターンは、「単体では個人情報に当たらない可能性が高いが、通常企業ではユーザーIDに紐付けて管理されている情報」を非個人情報の例として提示してしまうことです。これをするから個人情報の定義についての誤解が広がるのだと思います。例えば相手が技術系の方であれば特定のサーバのメモリ使用率など、明確に個人情報でないものを例示しましょう。

クラウドサービスの捕捉

次に、利用するクラウドサービスの捕捉方法です。ここは私も日々試行錯誤をしながら対応しているところですが、

原則ルート
- 次回以降で詳細をご説明する、日常的なPIA（Privacy Impact Assessment）活動によるSaaS利用前の事前相談
- PIA活動を通じた必要な情報（法的根拠、渡すデータ項目、所在国など）の整理
例外ルート
- 「各社のSaaS管理サービス」でご紹介したようなサービス等による、機械的・事後的なモレの捕捉
- 捕捉したモレについての事後的なPIA活動の実施、必要な情報の整理

というサイクルを回しながら対応しています。

将来的にSaaS管理サービスで網羅的・機械的に管理できることが理想ではありますが、2まで話が進んでしまうと、事業側では当該クラウドサービスを利用することを前提に各種取組が進行していることが大半で、現状追認的な対応を一定程度取らざるをえません。

1で述べたPIAは「事前の法務相談」と捉えれば、多くの会社で一定程度行なっているのではないでしょうか。1で全てを捕捉することは難しいですが、なるべく事前相談を受けて計画段階から関与できるようにしたい所です。事前相談を仕組みとして根付かせるためには

事業側の視点で議論ができること
管理側が一定の柔軟性を持っていることを事業側が実感できること

などが重要だと考えています。この点、連載第5回で検討していきます。

クラウドサービスの評価

その上で、利用するクラウドサービスの評価を行う必要があります。評価の具体的な方法としては、連載第3回でご紹介した通り以下の方法がありえます。

① セキュリティ認証の取得・公開
② クラウドサービス利用者から送付されるチェックシートへのクラウドサービス事業者による回答
③ クラウドサービス事業者自ら公開するホワイトペーパー・チェックシートの利用者による検証

私として③に期待していることは第3回で述べた通りですが、現実問題として②のチェックシートにより対応しなければならない場合も多いでしょう。ここで提案したいことは、各質問事項が想定しているリスクシナリオを「自社が」「当該クラウドサービスを利用する」ケースについて具体化して考えてみることです。

例えばいわゆるeKYC系のサービスで、個人の証明書を読み取って記載内容を文字に起こすようなシーンを想定してみます。このサービスにおける文字起こし作業が

OCR機能により全て機械的に実施される場合
基本はOCR機能で機械的に処理されるが、OCRの精度が十分でない場合には目視による補正が行われる場合
サービス提供会社側の従業員が目視で全て書き起こす場合

で検討すべきリスクは大きく異なるはずです。

チェックシートのフォーマットは効率化の為に統一的なものを使う事が多いと思いますが、少なくとも脳内ではこの具体化を試みましょう。そうでなければセキュリティチェックシートがただの事務作業に終わってしまい、リスク受容や代替措置の検討もできません。具体化をする上では、総務省ガイドラインの各要件に記載されている【目的】や【ベストプラクティス】などは参考になると思います。

例えば上記の文字起こしの例でマニュアル作業が一定程度想定されるのであれば、「Ⅳ．４．４．建物の情報セキュリティ対策」に列挙されている物理的なセキュリティ対策群は一読の価値があるでしょう。

個人の観点：クラウドサービスのセキュリティを理解するための知識

ここでは本連載の想定読者を踏まえ、非技術者がどのようにセキュリティを勉強していけば良いかについて検討します。私自身、法学部・ロースクール・司法研修所を経て、社会に出てからセキュリティ・プライバシーの仕事につき、仕事と両立させる形で勉強をしてきました。

そこでの経験を踏まえ、総論的なモチベーション維持の方法と、各論的なブックガイドについてお話しします。

総論：モチベーション維持

非技術者である社会人がセキュリティを学ぶ上で、一番重要なものは何でしょうか。私はモチベーションだと考えています。日々の業務の中で他にもやるべきことは多くあり、本業の領域でも学ばなければいけないことが多くある中では、自分をうまく騙しながらモチベーションを継続的に維持していく必要があります。

ここでは、非技術者である社会人として私がモチベーションを維持する上で役立った方法を3つをご紹介します。

① 資格
② ニュース
③ 音声コンテンツ

まずは①資格です。セキュリティは他の分野に比べて資格が豊富にあります。「基礎となる最低限の知識」とは何かを知る、そして実際にそれを得る方法として適切な資格試験の勉強は良い方法だと考えます。専門外の分野の資格を持つことで越境的な仕事にも自信を持って手を挙げやすくなりますし、周りとしてもその人に仕事を任せやすくなります。私は、専門外の領域に手を出すときこそ資格を活用すべきだと考えています。

まずは手頃な資格試験として、IPAの情報セキュリティマネジメント試験はいかがでしょうか。これは技術者向けの試験ではなく、「業種、職種を問わず、また、営業・企画・製造・総務・人事・経理などの部門を問わず」実施しているものです。令和2年度よりCBT方式で実施しています。

続いて②ニュースです。あるいは炎上と言い換えても良いかもしれません。セキュリティや個人情報の領域では、毎年その年を表すような大きなニュースが発生します。今年で言えば、やはり個人情報保護法第二十四条（外国にある第三者への提供の制限）についての一連の報道と個人情報保護委員会からの指導でしょうか。

ニュースになるような案件は実在する企業で現在発生していることであり、色々な場で多くの人が問題提起を行います。①資格の勉強ができていれば、その問題提起もある程度理解ができる状態になっています。そこでの学びは自社での改善活動にもつながるので、ニュース起点の学習は効果的であると考えます。

そして最後に③音声コンテンツです。以前であればconnpassやDoorkeeperといったサイトで紹介されているエンジニア向けのオフライン勉強会を積極的におすすめしていました。こういう場に顔を出すことで擬似的にエンジニアの会話に参加することができ、同じ目線で議論に参加することができます。

また付随的なメリットとして、こういう場に非エンジニアが顔を出すと面白がって面倒を見てくれる奇特な方がよくおられました。そういう方は複数のコミュニティでハブになっていることも多く、ネットワークを広げて下さることもありました。

ただ、昨今の状況を踏まえるとオフライン勉強会への積極的な参加というのも難しいですよね。私は最近代替手段として、オンラインの勉強会などに加えてPodcastを聞くことも増えています。ご参考までに、私が好きで聞いているPodcastをご紹介します。

各論：ブックガイド

続いて、知識を得るための各論的な話をします。法律書においては『法務パーソンのためのブックガイド「法律書マンダラ2021」』という素晴らしいブックガイドがあります。当初はこれをもじって…

非技術者のためのブックガイド「技術書マンダラ2021」

みたいなことができれば面白いな。。。と考えていたのですが、ちょっと私の構成能力と紙幅が足りなさそうです。少し駆け足になりますが、基礎編とクラウドサービス編に分けて、非技術者である私が読んで参考になった技術書（入門書）、ガイドライン類をご紹介したいと思います。上から順番に進んでいくようなイメージで記述します。当時私が読んだ本がベースになっているので、お勧めの本があればぜひ教えてください。

基礎編

Web
- 「プロになるためのWeb技術入門」 ――なぜ、あなたはWebシステムを開発できないのか
  - 「プロになるための」とありますが、初心者向けのわかりやすい「入門」書です。古い本ですが、Webについての基礎になる知識を与えてくれる本です。1冊目にお勧めします。
ネットワーク
- 図解でよくわかるネットワークの重要用語解説
- ネットワークはなぜつながるのか
  - 「ネットワークはなぜつながるのか」が良い本だと思うのですが、この辺りは初学者の段階で真正面から取り組むと、アルファベット3-4文字の略語に学習意欲を削られがちです。重要用語解説を1冊挟んだ上で読まれるのが良いと思います。
  - なお、アルファベット3-4文字の略語と上手く付き合うコツは、「最初は略語で覚えずに、英語フルスペルで意味とともに覚える」ことと「略語でのカタカナ発音を覚えて実際に声に出す」ことだと思います。
データベース
- SQL ゼロからはじめるデータベース操作
  - データベースの構造や簡単なSQLを理解できていると、個人情報保護法の検討などでも具体性をもった議論ができて良いです。
暗号
- 暗号技術入門第3版　秘密の国のアリス
  - 幼い頃に、子供向け雑誌のおまけコーナーに掲載されている暗号に熱中した方も多いのではないでしょうか。当時のそれはシーザー暗号とかだったと記憶しています。
  - 暗号は色々な分野の基礎になっているので、1冊きちんと学んでおくと苦手意識が解消されて良いと思います。
プログラミング
- 各種オンラインのプログラミング学習サイト
  - 非技術者としてプログラミングを一度やってみる最大のメリットは、技術書を読み飛ばす回数が減ることだと思います。
  - 何か1つの言語を、無料のところまでで良いのでやってみましょう。それだけで、技術書でソースコードが続くページが出てきても「大体こんなことを言っているんだろうな」と理解できる…かどうかはともかく、読み飛ばさずに済むようになります。
フレームワーク
- NIST Cyber Security Framework
- NIST Special Publication 800-53 Revision 5
  - IPAが発行している日本語訳verでリンクを貼っています。「識別・防御・検知・対応・復旧」という大きな流れや、Control Familiesと呼ばれるセキュリティ対策のカテゴリーをまずは理解すると、知識を整理していくための箱が出来上がるので良いと思います。
Webアプリケーションセキュリティ
- 体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践
  - 基礎編の卒業試験として挑戦してみましょう。コードを全て理解するのはなかなか難しいとは思いますが、「プログラミング」の経験がここで生きるはずです。

クラウドサービス編

AWS
- Amazon Web Services 基礎からのネットワーク＆サーバー構築
  - クラウドサービスとしてのAWSを学ぶと言うのがまず1つ目の目的です。
  - 2つ目の目的として、基礎編で学んだことが現実世界でどのように実装されるのかを理解するという点が挙げられます。
  - AWSに限定する趣旨はないので、もしご自身の会社がGCP, Azureを使っているのであれば対応する入門書を読んでみましょう。
API
- Webを支える技術
  - 「プロになるためのWeb技術入門」で得たWebの理解をさらに深めながら、APIについて理解することができます。難易度もそれなりに上がってくるので、理解できないところは読み飛ばし、必要性が高まった時に再読していくのが良いと思います。
ゼロトラスト
- ゼロトラスト Googleが選んだ最強のセキュリティー
- すべてわかるゼロトラスト大全
  - ゼロトラストがバズワード・マーケティングワード的に使われるようになってある程度時間が経ちました。
  - 第2回でも述べましたが、今後は啓蒙活動を経て、デファクトスタンダードが境界型防御からゼロトラストに移っていくのだと思います。
  - 非技術者としては、ひとまず「ゼロトラスト Googleが選んだ最強のセキュリティー」などで概要を理解した上で、「すべてわかるゼロトラスト大全」で実際にどのようなサービスがあるのかを具体的に理解していくのが良いと思います。