法人向けIT製品/サービスを選ぼうとした時、高い頻度で登場するのが「比較表」ではないでしょうか。たしかに多くの製品を一覧できて、「○」「×」の数で簡単に全体を把握できる比較表は便利なものです。しかし、これを安易に利用することで、失敗につながることもあるのです。
ハードウェアなどスペックのわかりやすい製品と違って、実際の利用シーンへの適合度合いやセキュリティレベルで優劣のつくクラウドサービスの選定では、特に機能だけを並べた比較表の利用には注意が必要です。セキュリティの前提は、「機能がたくさんあればよい」「大は小を兼ねる」ではなく、「Need to Knowの原則」です。多機能であることは一見お得に感じられます。しかし、様々な機能があることでユーザーの操作ミスを誘発し、さらには悪用できる隙を増やしていることにも目を向けてください。むしろ必要のない機能には「×」がついているほうが、セキュリティ的には評価が高い場合も多いのです。
また、セキュリティ機能はその性質上、比較項目に「○」が多いから安全だとは言い切れません。いくつ「○」があっても、「重要な項目が漏れていたら?」「最新の脅威への対策が言及されていなかったら?」という懸念はついて回ります。“いたちごっこ”のセキュリティ対策において、「これさえあれば安全」はないのです。
さらに、比較表を参考にする際は、作成者が比較項目を恣意的に選択できる点にも留意する必要があるでしょう。作成者の意図に流されやすく、本質的な部分で見誤りやすいのが比較表ともいえるのです。
セキュリティを主眼にサービスを選ぶ際は、提供企業がどれだけセキュリティ対策に投資しているか、その従業員1人ひとりがセキュリティ意識高くサービス提供にかかわっているかといった姿勢も判断材料に入れる必要があります。これらは比較表には表れない部分ですが、自社独自の「チェックリスト」を作成/参照することで、可視化できるでしょう。
例えば、高機密データを扱う際、金融など高いセキュリティを求める企業の監査部門や情報システム/セキュリティ部門は、製品/サービスの選定に「チェックリスト」を活用することが一般的です。「チェックリスト」は、製品/サービスを選定する際のセキュリティ要件を網羅するために、各企業のガイドラインに加え、業界ごとの基準を加味した上で作成されています。例えば、クレジットカード業界ならPCIDSSなど、各業界に特化した法令やセキュリティ基準などが用いられます。遵守すべき規準が業界ガイドラインなどで明確に定められている金融や医療などの業界では、その業界での事例も参考になります。
「チェックリスト」の標準フォーマットを用意している企業も実は少なくありませんので、初めて製品選定をする方は、監査部門や情報システム/セキュリティ部門に前もって確認することをおすすめします。
ここでは、よく用いられるチェック項目の例を5つ挙げます。
【チェック1】物理的なアクセスに対するチェック体制
【チェック2】ファイアウォールおよびルーターの設定
【チェック3】システムの構成基準
※ 業界で認知されたシステム強化基準のソースには、SysAdmin Audit Network Security (SANS) Institute, National Institute of Standards Technology (NIST), International Organization for Standardization (ISO), and Center for Internet Security (CIS) が含まれるが、これらに限定されない。
【チェック4】データセンターの信頼性
1.機器の故障やメンテナンスなど一部設備の一時停止時において、同時に一部機器に障害が発生してもサービスを継続して提供できる、より高いレベルの冗長構成の設備がある。
2.地震や火災など災害に対して、データ保全の安全性を保ち、かつ可用性も確保した非常に高いレベルでの耐災害性が確保されている。
3.敷地、建物、サーバー室およびラック内のIT機器へのアクセス管理が実施されている。
【チェック5】記憶媒体の漏えい対策
上記のうち【チェック1】は総務省、【チェック2】【チェック3】はPCIDSS、【チェック4】は日本データセンター協会による「データセンターファシリティスタンダード」に関連する項目です。また、【チェック5】は2019年に判明した自治体からのハードディスク流出問題に起因し、以降、高い頻度で言及されるようになった基準です。深刻な情報漏えい事件の要因は、発覚を契機に分析され、ガイドラインなどに取り入れられることがあります。また、翌年にはデフォルト基準になることが一般的です。
自社の選定基準として取り入れるには
セキュリティの充足度を測るための基準として、自社独自の「チェックリスト」を定める際には、既存の指標を参考に必要なものを抜粋していくことをおすすめします。ただし、各社の項目は事業や業務の特性により様々なので、「これだけやっておけばよい」というような、画一的な内容にはなりません。参考になるのは上記に挙げたPCIDSSなどの基準に加え、FISC(金融情報システムセンター)の安全対策、システム監査の指標などでしょう。これは金融業界のみならず、機密性の高い個人情報などのデータを扱う企業にとっても極めて有効なものなので、ぜひ、活用してください。
金融業界に選ばれ続けてきた高いセキュリティ水準
「クリプト便」は、高いセキュリティが求められるビジネスの現場で長年選ばれてきたファイル転送サービスです。提供元であるNRIセキュアテクノロジーズは、金融・証券にルーツを持つNRIグループのセキュリティ専業企業であり、金融機関での利用に耐えうる高水準のセキュリティレベルでサービスを提供してきました。
単に機能を提供するだけでなく、業界のセキュリティガイドラインや自社のセキュリティポリシーに則った業務設計や利用ガイドラインの策定までも支援しています。サービスが利用企業に定着するように、必要に応じてセキュリティアナリストやエンジニアによる支援が受けられることも注目すべきポイントです。
ファイル転送市場シェアNo.1(※1)
クリプト便はユーザー間ファイル転送市場でシェアNo.1(※1)を獲得。高シェアなだけでなく、その業界別内訳では50%を超える顧客が金融関連(※2)という点も特長です。
また、株式会社アイ・エス・レーティングによる「情報セキュリティ格付け」において、クラウド(ASP/SaaS)サービスとしては2011年当時として初めて、国内最高のセキュリティ格付けAAAisを取得しています。
※1 株式会社アイ・ティ・アール「ITR Market View:ファイル転送/EDI市場2019」 ユーザー間ファイル転送市場:ベンダー別売上金額シェア
※2 NRIセキュアテクノロジーズ株式会社「導入実績 業種内訳(2018年5月)」