HOME情報セキュリティ「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について

本文を印刷する

情報セキュリティ

「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について

2011年4月25日
独立行政法人情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構)では、中小企業によるクラウドサービスの安全利用に向けて「中小企業のためのクラウドサービス安全利用の手引き」、「クラウド事業者による情報開示の参照ガイド」を策定しました。

中小企業のためのクラウドサービス安全利用の手引き

 クラウドコンピューティングは、IT利活用に十分に取組めていない、またITの負担が重いと感じる中小企業が、ITの利活用・効率化を促進することに、大きく貢献できる可能性があります。

 しかし、中小企業にとっては、クラウドとはどういうものか理解し難い、どう使えば良いか判らない、正しく使えないためにデメリットが勝るといったことも起こり得ます。

 そこでこの「中小企業のためのクラウドサービス安全利用の手引き」(以下、「安全利用の手引」という。)では、中小企業が自社でクラウドの利用についての判断やその条件の確認、注意点の点検等が比較的容易にできるように、以下のような構成で、クラウドに関する説明や利用イメージを提供し、利用に際してチェックすべき項目を整理し、解説を加えました。

  1. クラウドコンピューティングとは
    クラウドコンピューティング、クラウドサービスとは何か、中小企業にとってのクラウドサービス活用の利点、クラウドサービス利用上留意すべき事項についての説明
  2. クラウドサービスはこんな形で活用されています
    クラウドサービスの活用事例として、電子メール、経営管理アプリケーション、事務処理系ソフトウェアを紹介
  3. あなたの会社のITに、こんな期待や課題はありませんか?
    IT経営を促進する上でクラウドサービスを活用することで実現することや解決する課題について、業務効率、ITの負担、ITを活用したビジネスの切り口で説明
  4. クラウドサービスを導入するにあたってチェックしましょう!
    クラウドサービスの導入を検討する際に、少なくともこれだけは確認しておくことが望ましいと思われる項目を、3つの領域に分けて整理し解説
    併せて、チェック項目を一覧表にしたチェックシートを提供
No. 項目 内容 チェック メモ/摘要
[A] クラウドサービスの利用範囲についての確認項目
(1) 利用範囲の明確化 クラウドサービスでどの業務、どの情報を扱うかを検討し、業務の切り分けや運用ルールの設定を行いましたか?  
(2) サービスの種類とコスト 業務に合うクラウドサービスを選定し、コストについて確認しましたか?  
(3) 扱う情報の重要度 クラウドサービスで取扱う情報の管理レベルについて確認しましたか?  
(4) ポリシーやルールとの整合性 セキュリティ上のルールとクラウドサービスの活用の間に矛盾や不一致が生じませんか?  
[B] クラウドサービスの利用準備についての確認項目
(5) 担当者 クラウドサービスの特徴を理解した担当者を社内に確保しましたか?  
(6) ユーザ管理 クラウドサービスのユーザについて適切に管理できますか?  
(7) パスワード パスワードの適切な設定・管理は実施できますか?  
(8) データの複製 サービス停止等に備えて、重要情報を手元に確保して必要なときに使えるための備えはありますか?  
[C] クラウドサービス提供条件等についての確認
(9) 事業者の信頼性 クラウドサービスを提供する事業者は信頼できる事業者ですか?  
(10) サービスの信頼性 サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービスレベルは示されていますか?  
(11) セキュリティ対策 クラウドサービスにおけるセキュリティ対策が具体的に公開されていますか?  
(12) 利用者サポート サービスの使い方がわからないときの支援(ヘルプデスクやFAQ)は提供されていますか?  
(13) 利用終了時のデータの確保 サービスの利用が終了したときの、データの取扱い条件について確認しましょう。  
(14) 契約条件の確認 一般的契約条件の各項目について確認しましょう。  
図1 中小企業のためのクラウドサービス安全利用チェックシート

 この「安全利用の手引」を活用することで、多くの中小企業の方々が、クラウドを正しく安全に利用し、IT利活用の効果を経営に活かし、またITセキュリティのレベルアップを実現されることが期待されます。

クラウド事業者による情報開示の参照ガイド

 「安全利用の手引」では、クラウドサービスの解説と利点ならびに留意事項、そしてクラウドサービスの利用事例と期待効果を紹介し、利用に際して準備・確認すべき項目を示して解説していますが、利用に際して確認すべき項目の多くはクラウドサービスの提供事業者(以下、クラウド事業者という。)が開示する情報に関するものです。中小企業によるクラウドサービスの安全利用のためには、必要な情報が適時適切にクラウド事業者から提供されることが望まれます。

 「クラウド事業者による情報開示の参照ガイド」(以下、「参照ガイド」という。)では、クラウド事業者による情報開示に関して、その項目や開示方法について、中小企業によるクラウドサービスの安全利用の視点から期待される姿を示しています。

 クラウド事業者の多くは、既に適切な開示を行っておりますが、一部のクラウド事業者は何を、どのように、どの程度開示すべきか迷いがある可能性があります。

 利用者に対しては、「安全利用の手引」が示されているので、これに対応したクラウド事業者の開示項目があると判りやすいと思われます。そのため、クラウド事業者が情報開示を行うに際して参考としていただくことを目的として、この「参照ガイド」を策定しました。

 利用者にとって必要な情報が、クラウド事業者に特段の負担となることなく提供され、中小企業によるクラウドサービスの利用が促進される状況が実現することが望まれます。

「安全利用の手引き」と「参照ガイド」の対応関係、想定利用イメージ

 以下に「安全利用の手引き」と「参照ガイド」の対応関係、および想定される利用イメージを示します。

「安全利用の手引き」と「参照ガイド」の対応関係、想定利用イメージ
図2 「安全利用の手引き」と「参照ガイド」の対応関係、想定利用イメージ

資料のダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター 勝見/中野
Tel: 03-5978-7530 Fax: 03-5978-7546 E-mail: 電話番号:03-5978-7530までお問い合わせください。

報道関係からの問い合わせ先

IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。