総務省策定「クラウドの設定ミス対策ガイドブック」の概要をご紹介
総務省は、令和4年10月に「クラウドサービス利用・提供における適切な設定のためのガイドライン」を公表しています。そして令和6年4月にこのガイドラインをよりわかりやすく解説した「クラウドの設定ミス対策ガイドブック」が策定され、公表されました。
総務省|報道資料|「クラウドの設定ミス対策ガイドブック」の公表
クラウドサービス利用・提供における適切な設定のためのガイドライン
クラウドの設定ミス対策ガイドブック
今回は、こちらのガイドブックについて簡単にご紹介します。
目次
「クラウド設定ミス対策ガイドブック」について
本ガイドブックは大きく3つの章で構成されているので、順番に見ていきましょう。
第1章 本ガイドブックの目的と使い方
ここでは、ガイドブックの目的と対象者、ガイドブックの構成や使い方などが記載されています。
本ガイドブックは、公表済の設定ガイドラインをより分かりやすい形にしているもので、このガイドブックの対象読者は、クラウドサービスを利用している企業や人になります。多くの企業では何かしらのクラウドサービスを利用していると思うので、ほとんどの企業が対象になるのではないでしょうか。
ガイドラインがつくられた背景には、クラウドサービスが普及したこととそれに伴い設定ミスが増加したことがあります。設定ミスのリスクや、情報漏洩・ファイル破損の影響で企業の信用が失墜してしまうことについても記載されています。設定ミスの例として、“デフォルト変更の事例、個人利用の事例、業務委託先のミスの事例”を挙げています。ちょっとしたことでも影響が大きいことがよくわかります。
本章ではほかにも、クラウド関連用語の定義と、クラウドの設定項目についてなどが記載されています。また、コラムではよく発生する設定ミスについて説明されているので、ぜひ参考にしてみてください。
第2章 設定ミス対策の前提となる考え方
この章では、「責任分担の原則」と「予防と発見」を説明しています。
1つめに責任分担の原則ですが、責任分担とは「サービスの提供者と利用者とが責任を分担するという考え方」のことです。SaaS,PaaS,IaaSといったクラウドサービスの種類によって責任分担の範囲が異なります。ガイドブックではわかりやすい図表が掲載されていますので、一度確認しておくことをオススメします。
注意事項として、利用規約等の「免責事項」をよく読んでおくこと、SI事業者に委託して設定ミスが発生する可能性もあるので利用者もSI事業者の行った設定についてはきちんと注意を払っておく必要があること、APIなどでクラウドサービス同士が連携した場合の事業者間の契約にもとづいた責任分担をきちんと確認すること、などが書かれています。
2つめが、予防と発見についての説明です。ミスは避けられないものとして考え、ミスが起こらないようにする「予防」と起こってしまったミスを見つける「発見」の対策が必要になります。これらは「予防的発措置」と「発見的措置」と呼ばれています。
第3章 設定ミスの対策
本ガイドブックでは、この章が一番ボリュームがあります。じっくり見ていきましょう。
3-1 設定ミス対策の4つの観点
ここでは、設定ミスの原因を「担当者」「マニュアル」「作業環境」「組織の環境」の観点で分けています。例えば、「担当者」は寝不足や疲労・知識不足・うっかりミスなど、「マニュアル」はマニュアルの不備、「作業環境」は騒音・照明・振動など、「組織の環境」は役割分担が不明確、人手不足などといった形です。
設定ミスの対策としては、「組織・ルール」「人」「作業手順」「道具」の4つの観点から整理されています。
3-2 組織・ルールの対策(体制の整備)
「組織・ルール」内の「体制の整備」について説明しています。具体的には、複数の担当者を置くこと、クラウドサービス提供者との窓口を明確化しておくこと、自社だけで人材が不足している場合に協力企業へ委託することも選択肢だということ、クラウド関連業務の体制は導入時だけでなく運用開始後も必要ということなどです。
3-3 組織・ルールの対策(設定ルールの策定)
「組織・ルール」内の、設定ルールの策定方法について書かれています。具体的にはセキュリティポリシーの作成、クラウドサービ利用方針の作成、作業規則の作成、ルールの文書化などです。
3-4 人的対策(人材育成)
つぎにクラウドのスキルを習得させる人材育成について。
サービス提供者の研修の活用を勧めており、クラウド研修の種類は「入門的な研修」「技術研修」「セキュリティ研修」「資格取得のための研修」を挙げています。
社内での研修の企画も有効としており、こうした研修などの勉強を継続的に実施することが必要ということです。
3-5 人的対策(情報収集とコミュニケーション)
ここでは、情報不足による設定ミスに関して、情報収集の必要性について書かれています。収集すべき情報は“クラウドサービス提供者からの情報、クラウドの技術情報、設定ミスによる情報漏洩等の事例、政府からの情報”などがあります。クラウドに関する情報を収集することは、個人よりも組織としてノウハウを蓄積し、共有するほうがよいようです。
また、コミュニケーション不足による設定ミスが起こることもあるので、クラウドサービス提供者とのコミュニケーション、社内のコミュニケーション、協力企業・取引先等とのコミュニケーションも求められます。
3-6 作業手順面の対策
作業手順に関する対策について説明されています。どういう作業手順なら設定ミスが少なくなるかが挙げられています。具体的には以下のような項目です。
- 設定項目を洗い出し、抜け漏れを無くす
- 作業マニュアルを整備する
- マニュアルのレビュー
- 慎重で確実な設定をする、マニュアルは必ず見る
- チェックを行う、可能なら事前チェックをする
- 定期的・継続的なチェックをする
また、作業プロセスを自動化して、ミスの発生を減らそうという考え方についても触れています。
3-7 ツールによる対策(支援ツールと診断サービス)
クラウドの設定作業を支援してくれるツールやサービスも有用です。設定支援するツールは人が見逃したミスを発見してくれることもあり、作業の効率化や負担軽減にも役立ちます。支援ツールには2種類あります。ひとつは設定管理ツールで、現在のクラウドの構成を可視化してくれます。ふたつめは設定診断ツールで、設定に問題がないかを診断してくれます。また、設定のチェックをアウトソーシングすることもできるので、そうしたサービスを検討してみるのもよいでしょう。
3-8 ツールによる対策(CASB・CSPM・SSPM)
ここではクラウドの設定ミスを減らすために、有効なツールとして3種類の支援ツール(CASB、CSPM、SSPM)について紹介されています。
これらのツールに関しては、以下の記事でもご紹介していますので、ぜひそちらもご覧ください。
3-9 その他の対策
その他の対策として、「暗号化」「データのバックアップ」「マネージドサービス」といった設定ミスにより情報漏洩が起きてしまったときの対策や、設定そのものをなくす対策などについて書かれています。
まとめ
クラウドの設定ミス対策のガイドブックについて、まとめてみました。
背景にあったように、クラウドサービスの普及に伴い、設定ミスが増加している現状において、その対策が重要になるのは必然でしょう。設定ミスといっても、細かく分けると様々な要素があり、これらすべてを網羅的に対策するには、やはりこうしたガイドブックを活用し、定期的なチェックを行うことが必要になってくるでしょう。
ガイドラインとガイドブックを活用し、ミスは起こるものだという前提で、様々なミスに対応できる体制を整えていきましょう。
ガイドブックにはほかにもコラムがいろいろとありとても参考になります。ぜひお時間あるときに、チェックしてみてください。
(参考)SSPM関連製品の紹介 本記事内にてご紹介したSSPMについていくつかピックアップしてご紹介します。詳しくはそれぞれの製品サイトよりご確認ください。
OPTiM サスマネ SaaS・オンプレミス・ITデバイスを統合管理するSaaS管理サービス。OPTiMサスマネは、社内のあらゆるソフトウェアを可視化し、ムダなコストやセキュリティリスクの削減を支援するSaaS管理サービスです。
Admina https://admina.moneyforward.com/jp Adminaは、多様なクラウドサービスやSaaSとの連携を実現。一元的に社内のSaaS環境を可視化し、セキュリティリスクを低減。無駄なクラウドコストを見直し、効率的な資産管理をサポートし情シスの業務のデータ管理ツールです。
ジョーシス ITデバイス & SaaSの統合管理クラウド。ジョーシスは、情報システム部門の業務コスト削減とセキュリティレベル向上を支えるITデバイス とSaaS統合管理サービスです。
ITboard ITboardは、セキュリティリスクを低減させ、情報システム部門の工数と費用コストを削減します。シンプルな操作性と徹底したサポート体制で、SaaSの一元管理を実現します。
Bundle by freee 手間のかかるSaaSのアカウント発行作業や棚卸し作業を自動化。
以下の記事にて他の製品もご紹介しています。 |
※本記事の正確性については最善を尽くしますが、これらについて何ら保証するものではありません。本記事の情報は執筆時点(2024年12月)における情報であり、掲載情報が実際と一致しなくなる場合があります。必ず最新情報をご確認ください。
※記載の商品名やサービス名は各社の登録商標または商標です。
筆者プロフィール
- 家電量販店でウィンドウショッピングするのが好きです。
最新記事一覧
- セキュリティ2024年12月24日総務省策定「クラウドの設定ミス対策ガイドブック」の概要をご紹介
- セキュリティ2024年11月29日SSPM、CSPM、CASBの概要とそれを実現する製品群の紹介
- セキュリティ2024年10月29日SOC、CSIRTとは?それぞれの内容や違いを解説
- セキュリティ2024年9月30日ISMSクラウドセキュリティ認証とISMAPはなにがどう違うか<ISMSクラウドセキュリティ認証とISMAP 3>
【オンラインセミナー定期開催中】法改正、IT導入補助金、内部統制、業務の効率化など
いま解決したい課題のヒントになるかもしれません。ぜひお気軽ご参加ください!