以前の記事で、「クラウドツールの利便」や「セキュリティ」、「第三者認証」のご説明をしてまいりました。
今回の記事ではそれら二つの集合点、
「クラウドツールを新規導入するときに、セキュリティの観点からはどのような機能の有無を確認すればいいの？」をご説明いたします。

現代で提供されているツールには、たいていの場合最低限必要なセキュリティ機能はついています。
とはいえ、ONにしなければ、発動しない機能もあるものです。
導入済みのツール/サービスについても、改めて下記の条件を満たしているか、ご確認ください。

セキュリティ機能の３分類

情報セキュリティは、3つの要素に分かれます

機密性　…　見てはいけない人が、見られないようにすること。
可用性　…　システムが止まらずに、いつでも利用ができること。
完全性　…　情報を勝手に変えられないようにすること。変えた内容を、後から確認できるようにすること。

クラウドツールに限らず、上記の要素・条件をクリアするために、ITツールには様々なセキュリティ機能が提供されています。
次の項から、「具体的にどういう機能があれば、守られていると言えるのか」をご説明してまいります。

機密性

• IDとパスワードによるログイン制御　→ 登録された利用者だけが使えるようにする
• 多要素認証（追加の本人確認）　→ パスワード以外の確認を求める（生体認証、アプリによる認証など）
• IPアドレス制限　→ 決められた場所からしかアクセスできない
• 端末制限　→　決められた端末からしかアクセスできない
• 権限の設定　→　権限を、ユーザーによってつけたりはずしたりできること。すべてのユーザーが、組織設定を変更できる強い権限を持つことは避けなければならない。
• 外部ユーザー（社外）共有の禁止
• 暗号化通信

もし、そのツール/サービス自体に、「多要素認証」「IPアドレス認証」「端末の制限」ができなかったとしても、それらのログイン制御が可能な別のアカウントを用いて、シングルサインオンの設定をすることができれば、この点を補完できる場合があります。

可用性

• データのバックアップ機能について　→　障害時に復元できる
• データ保管している拠点がどこなのか確認　→　紛争災害の影響を受ける場合があるため、保管場所はあらかじめ確認
• サービス稼働率の公開　→　どの程度安定してサービスが提供されているのか確認する

完全性

• 操作ログの取得　→　誰がいつ何をしたのか確認する。ログがどれくらいの期間保持されるのかも要確認。
• ファイルの変更・削除ログ　→　いつどこが変わったのかを確認。
• 管理操作の記録（設定変更ログ）　→　 システム設定変更を追跡できる
• 重要データの編集権限制限　→　誰でも書き換えられない。

さいごに

時々お見掛けする勘違いに、「クラウドツール」と聞いて「クラウドストレージ」を想像してしまう、という方がいらっしゃいます。
もちろん、「クラウドストレージ」はクラウドツールの代表的なものではありますが、クラウドツールはそれだけではありません。

• アプリケーション本体がクラウド上に存在している
• 明確にデータストレージがなくても、何らかのかたちで従業員・顧客などの営業情報が登録されている

という状態であれば、守らなければならないクラウドツール・クラウドサービスです。

例えば、チャットツールや勤怠管理のためのサービス、なんかがこの条件に当てはまるのではないでしょうか？
ご注意ください。

また、「第三者認証を取得する」という視点で考えた場合、今回ご紹介した機能を網羅することは重要です。
ですが、必ずしも「すべて使えなければ、セキュリティが十分でない」というわけではありません。
「何ができて、何ができないのか」を正しく把握し、可能であれば、別のツールやサービス、あるいはオペレーションで、その弱点が補えるのかをあらかじめ確認しておくことが重要です。

過去のセキュリティ第三者認証に関する記事はこちら↓↓