Posted: 07 Nov. 2022 4 min. read

第8回 クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】

<連載>持続的な成長のためのリスクテイクに際して、企業はどうCyberと向き合うべきか

■クラウドを取り巻く情報セキュリティガバナンスの重要性

2018年6月に日本政府が発表した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」において、政府情報システムの構築・整備に関しては、クラウドサービスの利用を第一候補(デフォルト)として考える『クラウド・バイ・デフォルト原則』が示されたことで、日本国内でもクラウドサービスの活用が大きく進みました。

様々なメリットがあるクラウドサービスですが、サービス運営や基盤の構築・運用をクラウド事業者が実施するサービス形態がゆえに、利用者側でサービスやリスクを正しく認識できず、セキュリティやコンプライアンスに課題を抱えるケースも少なくありません。

情報処理推進機構(IPA)が発行した「情報セキュリティ白書2022」によると、クラウドサービスの利用範囲や利用者数の拡大に伴い、クラウドサービスに関するセキュリティインシデントの報告も増加しています。「不正アクセス」や「スクリプトの改ざん」と並び、利用者による「設定ミス」に起因するインシデントが増加傾向にあります。

一方で過度に恐れる事は、機会損失やコスト増加の危険性があるため、リスクを正しく理解して適切に受入れるために、セキュリティやコンプライアンス、コスト管理について利用者側で規定し、正しく運用するための、情報セキュリティガバナンスを構築することが非常に重要となります。

■クラウドサービス利用時の情報セキュリティガバナンスの課題

かつて情報システムやネットワークは組織内に保有するオンプレミス方式が主流でした。システムやハードウェアの調達、構築、運用の一部を委託するホスティングサービスやハウジングサービスを利用する場合でも責任分界が比較的明確だったため、経営陣や情報システム部門によって情報システムを一元的に管理して、実効性ある情報セキュリティガバナンスが確立できていました。

一方で、クラウドサービスの利用にあたっては、業務領域やアプリケーションの開発や運用を主にクラウド利用者、ファシリティやインフラ基盤、およびそれらの運用は主にクラウド事業者が分担する、いわゆる「責任共有モデル」が採用されるため、情報セキュリティガバナンスの主体はクラウド利用者とクラウド事業者に分断され、サービス形態や利用方法によっても責任分界点が異なるため、情報セキュリティガバナンスを確立する事が困難になってきています。

一般に自組織の内部統制は外部組織には及ばず、情報セキュリティを直接コントロールすることができないため、情報資産や運用の多くを外部組織に委託するクラウドサービスに対して、経営陣や情報システム部門は責任共有モデルに基づき、情報システムの情報セキュリティを担保するための施策を検討する必要があります。

また、明確な悪意に対抗するために、より高度な施策であるサイバーセキュリティ戦略も重要です。
クラウド活用により組織外にデータが分散されることは、攻撃者のアタックサーフェースが増えることになるという点にも注意払う必要があります。ゆえに、従来の境界防御施策だけでは十分に対策責任を果たしているとは言えなくなっているのがサイバーセキュリティ観点での現状だからです。

したがって、クラウドサービスを利用するにあたって情報セキュリティガバナンスおよびサイバーセキュリティは、最優先で検討しなければならない大きな課題の一つと言えます。

 

参考:クラウドサービスの責任共有モデル

主要なクラウド事業者は、セキュリティとコンプライアンスは、クラウド事業者と利用者で共有すべき責任として、「責任共有モデル」を定義しています。

また米国国立標準技術研究所(NIST)が公開した「NISTによるクラウドコンピューティングの定義(SP 800-145)」で示された「SaaS」、「PaaS」、「IaaS」の3つのサービスモデルごとに、責任の範囲が異なります。

以下の図は、各サービスモデルにおけるクラウド事業者と利用者との責任範囲を示したものです。

 



■効果的な情報セキュリティガバナンス戦略の考え方

情報セキュリティガバナンスの構築にあたっては、経済産業省によるガイドラインやISO/IEC27014による国際標準規格など、多くのスタンダードやフレームワークに基づき整備されることが提唱されていますが、適用範囲の定義やポリシー定義、管理手法やモニタリング体制など、情報セキュリティガバナンスの構築には長い時間と労力を要します。

今回は具体的な課題に対する対応施策として、ガートナーが提唱する「パブリッククラウドコンピューティングのガバナンスを実現する方法論 (Solution Path for Enabling Governance of Public Cloud Computing)」を基に、情報セキュリティガバナンスの改善に向けた4つの具体的な方法論について紹介します。

 

1.ガバナンスチームの設立

情報セキュリティガバナンス戦略を実施するには、サイバーセキュリティ、ID・権限管理、アプリケーション管理など、複数のIT分野をカバーすることが必要です。この取り組みを管理するチームを任命します。

 

2.クラウド活用に向けた戦略とポリシーの定義

情報セキュリティガバナンスプログラムは組織のビジネス目標にあわせて設定する必要があります。組織独自のアプリケーションニーズ、システム予算、セキュリティリスク、コンプライアンス要件に基づき、作成すべき主要な戦略やポリシーを特定します。

 

3.セキュリティやガバナンスの効率的・効果的なチェック

各クラウド資産に関するアクセス権の監視/制御/強制、ワークロードの可視化、ポリシー違反の通知など、情報セキュリティガバナンスの効率的かつ効果的な実現に向け、クラウドサービスの構成やセキュリティ状態を監視・制御・監査するためのツールやサービスを導入します。

 

4.ビジネスユニットへのガバナンス適用

組織全体で策定した情報セキュリティガバナンスを各ビジネスユニットで実現するためには、設定したルールの遵守を促すだけの一方的で形式的な管理ではなく、現場の状況や仕組みの実態に合わせた、対話的・協調的な適用が必要です。

 

出所:Gartner「Solution Path for Enabling Governance of Public Cloud Computing」(2018年6月 13日)
https://www.gartner.com/en/documents/3879074

 

 

■情報セキュリティガバナンス態勢強化に向けたデロイトのアプローチ

今回紹介した情報セキュリティガバナンスの改善に向けた4つの方法論に対し、デロイト トーマツ グループでは多くのサービスを用意しており、企業が抱える課題や、検討・取り組みの状況に応じて、様々なアプローチで情報セキュリティガバナンス態勢強化に関するサービスを提供することができます。

 

1.ガバナンスチームの設立

組織内の部門横断で全社のクラウド活用を促進するために、社内外のステークホルダーの意見収集や意思決定のためのプロセス推進、活動を行う専門的なクラウド活用の組織である、クラウド・センター・オブ・エクセレンス(CCoE)の構築に向けたサービス提供を行います。

CCoEを構築することで、組織横断でのクラウド導入/運用にあたっての課題解決やノウハウの共有、またマネジメント層による一元的な意思決定プロセスにより、組織のDX推進や情報セキュリティガバナンスの強化を推進する事ができます。

 

2.クラウド活用に向けた戦略とポリシーの定義

組織を取り巻くセキュリティリスクの分析や、あるべきセキュリティアーキテクチャとのギャップ分析を行い、クラウドセキュリティのグランドデザインや、クラウド活用に向けた戦略とポリシーを策定します。またそれらを組織に導入するにあたり、各国の政府機関・業界団体が定めるガイドラインや、クラウド事業者が提唱するクラウド導入のためのフレームワークを活用し、効率的かつ効果的な計画を立案に向けたサービス提供を行います。

当グループにはサイバーアドバイザリーの専門会社を有し、近年のクラウド活用拡大に伴い、数多くのクラウドガバナンス・セキュリティに関する知見を蓄積しており、先進的なクラウド活用に向けたサポートが可能です。

 

3.セキュリティやガバナンスの効率的・効果的なチェック

クラウドサービスにおける情報セキュリティやIT監査の複雑化、工数負荷といった課題に対し、パブリッククラウドが提供する構成・監視の支援サービスを実装・活用することで、セキュリティやガバナンスを効率的・効果的にチェックする態勢の構築に向けたサービス提供を行います。

これにより、組織におけるクラウド運用の品質向上とコスト削減を実現すると共に、クラウド環境のセキュリティや監査状態をリアルタイムに可視化し、内部統制やコンプライアンスなどの要求を満たす、クラウドガバナンス態勢の構築を実現します。

 

4.ビジネスユニットへのガバナンス適用

組織全体で策定した情報セキュリティガバナンスに関する戦略やポリシーを、各ビジネスユニット・現場で実現するために、具体的なセキュリティ運用手順の策定や、セキュリティ対応チームの構築に向けたサービス提供を行います。またITサービスマネジメントに基づく高度なIT運用態勢の構築や、従業員によるSaaSサービスへのアクセスを制限・管理するシャドーIT対策ソリューションの提供も可能です。

ITILやITサービスマネジメントといった、ITサービスを効果的に構築・運用するためのフレームワーク、およびNIST SP800-207ゼロトラストセキュリティ、Deloitte CSFといったグローバルスタンダードに依拠したフレームワークを用いることで、組織の上流から下流にいたるまで、一貫性のある情報セキュリティガバナンスの適用とサイバーセキュリティ対応態勢の整備推進をサポートします。

当グループでは上流のコンサルティングだけではなく、セキュリティ運用を請け負うオペレーションチームを擁しており、組織のセキュリティ運用にまつわる様々なサービス提供が可能です。


情報セキュリティにおける「リスク」について、マイナス要素を減らすだけでなく、企業価値向上に向けて適切にリスクテイクするためには、高い専門性や技術力、豊富な経験に基づく意思決定が不可欠です。デロイト トーマツ グループでは、クラウドを取り巻く情報セキュリティガバナンスの課題に対して、本稿で取り上げたサービスの他にも様々なサービスを準備しています。貴社のクラウドガバナンス強化に向けて、下記の問い合わせ窓口までお声がけをいただけると幸いです。

本連載のバックナンバー

第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)

第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】

第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(米国SEC)のサイバーセキュリティ開示の規則案への対応準備について】

第4回 M&Aにおけるサイバーセキュリティ

第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】

第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】

第7回  情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】

第9回  転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】

第10回  サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】

第11回  デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】

第12回  断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜

第13回  地方公共団体DXに伴うサイバーリスクの高まり~地方公共団体におけるセキュリティ対策~

第14回  地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】

第15回  スマートシティ推進における個人データの保護・活用

執筆者

伊藤 義剛/Yoshitake Ito
デロイト トーマツ リスクアドバイザリー株式会社

日系IT基盤サービス企業、外資系ITソリューションベンダー、外資系ITコンサルティング企業を経て現職。
テクノロジーとデジタルによる組織のリスク監視と意思決定プロセスを支えるデジタルガバナンスにおける、クラウド領域のコンサルティングを担当。
オンプレミス/クラウドを問わず、ITシステムインフラの企画から設計構築、運用にいたるまでのライフサイクルを数多く経験。
近年はクラウド活用に関する戦略構想やガイドライン策定、またクラウド領域を中心としたリスクアセスメントやセキュリティー規程類整備に従事。
 

※所属などの情報は執筆当時のものです。