ASP・クラウド型予約システムのセキュリティ対策をきちんと評価できていますか?

予約システムはお客様の個人情報を取り扱うため、ASPやSaaS、クラウドサービスとして利用するときはサービス提供事業者がどのようなセキュリティ対策をしているか十分に評価する必要がありますが、導入担当者の方からは

「何を基準に評価すればよいのかわからない」

「どんなところを確認すればよいかわからない」

といった相談をたくさんいただきます。

そこで今回はASP・クラウド型サービスのセキュリティ対策を正しく評価するために知っておきたいポイントを説明します。

ASP・SaaS型サービスの特徴と注意点

ASP(Application Service Provider)・SaaS(Software as a Service)はインターネットを通じてアプリケーションの提供を受け、その利用に応じてサービス提供事業者に料金を支払う形態のサービスです。

アプリケーションは通常インターネット回線を通じて利用し、アプリケーション、データはサービス提供事業者が保守運用、管理するサーバーに置かれます。

サービスの利用者はシステムの開発、保守運用、管理の必要がなくなり、素早く手軽にシステムを利用できるメリットがある一方で、セキュリティ対策はサービス提供事業者に依存してしまうため、適切なセキュリティ対策が継続的におこなわれているかを確実に確認しておく必要があります。

公開されている手引きやガイドラインを参考にする

国や省庁、専門の団体から、ASP・SaaS・クラウドの適切な普及促進を目的として、手引きやガイドラインが公開されています。

そのなかにセキュリティ対策に関する指針、ガイドラインがありますので、セキュリティ対策内容を評価するために参考にしたいものを紹介しておきます。

中小企業のためのクラウドサービス安全利用の手引き

IPA(独立行政法人情報処理推進機構)が作成している中小企業がクラウドサービスの導入・利用を考える際に参考となる情報と、安全かつ有効に利用するための準備や確認のための項目を整理しとりまとめたドキュメントです。

サービス利用者向けにわかりやすくクラウド利用やセキュリティを含むチェックポイントが解説されています。

そこでこの「中小企業のためのクラウドサービス安全利用の手引き」(以下、「安全利用の手引」という。)では、中小企業が自社でクラウドの利用についての判断やその条件の確認、注意点の点検等が比較的容易にできるように、以下のような構成で、クラウドに関する説明や利用イメージを提供し、利用に際してチェックすべき項目を整理し、解説を加えました。

1. クラウドコンピューティングとは

クラウドコンピューティング、クラウドサービスとは何か、中小企業にとってのクラウドサービス活用の利点、クラウドサービス利用上留意すべき事項についての説明

2. クラウドサービスはこんな形で活用されています

クラウドサービスの活用事例として、電子メール、経営管理アプリケーション、事務処理系ソフトウェアを紹介

3. あなたの会社のITに、こんな期待や課題はありませんか?

IT経営を促進する上でクラウドサービスを活用することで実現することや解決する課題について、業務効率、ITの負担、ITを活用したビジネスの切り口で説明

4. クラウドサービスを導入するにあたってチェックしましょう!

クラウドサービスの導入を検討する際に、少なくともこれだけは確認しておくことが望ましいと思われる項目を、3つの領域に分けて整理し解説

併せて、チェック項目を一覧表にしたチェックシートを提供

出典:https://www.ipa.go.jp/security/cloud/tebiki_guide.html

中小企業のためのクラウドサービス安全利用の手引き

クラウド事業者による情報開示の参照ガイド

IPA(独立行政法人情報処理推進機構)が作成している事業者向けの資料ですが、クラウド事業者による情報開示に関して、中小企業におけるクラウドサービスの安全利用の視点から、開示が望まれる情報項目を提示し、開示方法についても提示し取りまとめてあるため、より具体的に確認しておくべき項目を知ることができます。

先の「中小企業のためのクラウドサービス安全利用の手引き」と合わせて読んでおくとわかりやすいと思われます。

 「クラウド事業者による情報開示の参照ガイド」(以下、「参照ガイド」という。)では、クラウド事業者による情報開示に関して、その項目や開示方法について、中小企業によるクラウドサービスの安全利用の視点から期待される姿を示しています。

クラウド事業者の多くは、既に適切な開示を行っておりますが、一部のクラウド事業者は何を、どのように、どの程度開示すべきか迷いがある可能性があります。

利用者に対しては、「安全利用の手引」が示されているので、これに対応したクラウド事業者の開示項目があると判りやすいと思われます。そのため、クラウド事業者が情報開示を行うに際して参考としていただくことを目的として、この「参照ガイド」を策定しました。

出典:https://www.ipa.go.jp/security/cloud/tebiki_guide.html

クラウド事業者による情報開示の参照ガイド

ASP・SaaSにおける情報セキュリティ対策ガイドライン

総務省が2008年に公開したASP・SaaSにおいて必要とされる情報セキュリティに関する対策を取りまとめた資料です。

こちらも事業者向けの資料ですが、

  • データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策等)
  • データのバックアップ
  • ハードウェア機器の対策
  • OS、ソフトウェアの対策
  • OS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
  • 不正アクセスの防止
  • アクセスログの管理
  • 通信の暗号化

といったような、具体的な対策項目と対応優先度(「基本」「推奨」)、ベストプラクティスが示されており、利用するサービスのセキュリティ対策のレベルを評価するために必要な項目や理想的な基準を知ることができます。

要約

ASP・SaaS事業者が、提供するサービスに即した適切な情報セキュリティ対策を実施するための指針が示されている。経営者などの組織管理者向けの「組織・運用編」と、現場技術者向けの「物理的・技術的対策編」から構成されている。

特徴

・ASP・SaaS事業者の視点から実施すべき対策について記載がされている。
・対策項目として何をすべきかが記載され、ベストプラクティスとして具体的にどう実現するかが記載されている。
・SLAの評価項目について具体的な指標が基準値として示されている。

出典:http://www.jisa.or.jp/it_info/engineering/tabid/1138/Default.aspx

ASP・SaaSにおける情報セキュリティ対策ガイドライン(PDF)

最後に

繰り返しになりますが、予約システムはお客様の大切な個人情報を取り扱います。

サービス事業者が適切な情報開示をおこなっていることが前提ですが、利用者側でも開示された情報をもとに正しく対策レベルを評価するための準備をおこない、十分な情報セキュリティ対策をおこなっている事業者やサービスを選定するようにしましょう。

関連記事:予約システムでも注意!2018年3月までにクレジットカード決済のセキュリティ対策が必要です

予約システム「リザベーション・エンジン」のセキュリティ対策をご紹介