NEWS TOPICS

会員向け情報はこちら

第1回 - クラウドサービスを取巻く環境の変化と情報セキュリティについて(前半) -

- クラウドサービスを取巻く環境の変化と情報セキュリティについて -

第1回
- クラウドサービスを取巻く環境の変化と情報セキュリティについて(前半) -

- クラウドサービスを取巻く環境の変化と情報セキュリティについて -


新型コロナウィルス感染拡大の影響から外出自粛などにより、間接的・経済的なダメージは徐々に深刻な問題となった。政府では、新型コロナウィルス対策として、積極的な「テレワーク」の利用を呼び掛けてい る。

̻■ テレワークとは

  テレワークとは、「情報通信技術(ICT = Information and Communication Technology)を活用した、場所や時間にとらわれない柔軟な働き方のこと」とされており、自宅などの端末、ノートPC、タブレット端末、 スマートフォンなどを活用し、業務に用いていた情報を紙のやり取りからデータのやり取りへと変化させ、場所を選ばずに仕事をできるようにすることである。
 我が国においては、平成30年7月に公布された「働き方改革を推進するための関係法律の整備に関する法律」が成立しており、柔軟な働き方がしやすい環境整備ということで、テレワークの導入を推奨してきた。 
 テレワークの導入において、考慮すべくメリットとは次のようなものがあげられる。

・ワーク・ライフ・バランスの実現
・優秀な人材の確保
・オフィススペース、通勤のコストを抑えるオフィスコストの削減
・雇用創出と労働力の創造
・生産性の向上
・オフィススペース、通勤減少による電力消費の削減などからの環境負荷の軽減
・事業継続性の確保

 本来であれば、上記のうち、「事業継続の確保」という、新型コロナウィルスなどに代表されるパンデミック(感染症流行)時における事業継続のための対策ではなく、生産性向上やワーク・ライフ・バランスの実現のためなど、経営に大きなインパクトを与える経営戦略の一つとして導入することが期待されていた。

なぜ、テレワークなどの導入による働き方改革が浸透しなかったのか?
いくつかの課題がある。課題として挙げられているものとして代表的なものは、以下のとおりである。

・情報が分散化されることによりセキュリティリスクが高まる
・勤怠管理などの労務問題が生じる
・従業者の活動が把握しづらく、マネジメントが行き届かない
・コミュニケーション・伝達のロスが生じる

 これらのデメリットを補うために近年、活用されているのが、Web会議システムなどのクラウドサービスを中心とするツールの普及である。

̻■ クラウドサービスとは

 クラウドサービスとは、クラウドサービスプロバイダからクラウドコンピューティングを経由して提供され、クラウドサービスカスタマが利用するサービスのことを指している。
 ISO/IEC 27017で用いる用語及び定義ではいくつかの規格が参照されているが、その一つであるISO/IEC 17788:2014(JIS X 9401:2016)において、クラウドサービスを以下のように定義している。

3.2.8 クラウドサービス(cloud service)
定義されたインタフェースを使って呼び出されるクラウドコンピューティング経由で提供される一つ以上の能力


(ISO/IEC 17788:2014 (JIS X 9401:2016) 3.2.8 クラウドサービス より引用)



図1 クラウドサービスとは

 クラウドサービスとは、カスタマ(利用者)にとっては、クラウドコンピューティング(クラウド環境)を利用したサービスのことと捉えて構わないが、クラウドコンピューティングとは、単に物理マシンを共有するための仮想化技術を利用したコンピューティング環境のことだけを指すものではない。クラウドコンピューティグについて、ISO/IEC 17788:2014 (JIS X 9401:2016) では、3.2.5 クラウドコンピューティング において、以下のように定義されている。

3.2.5 クラウドコンピューティング(cloud computing)
セルフサービスのプロビジョニング(provisioning)及びオンデマンド管理を備える,スケーラブルで伸縮自在な共有できる物理的又は仮想的なリソース共用へのネットワークアクセスを可能にするパラダイム。

   注記 リソースの例には,サーバ,OS,ネットワーク,ソフトウェア,アプリケーション及びストレージが含まれる。


(ISO/IEC 17788:2014 (JIS X 9401:2016) 3.2.5 クラウドコンピューティング より引用)


クラウドサービスの形態には、IaaSPaaSSaaSなどがあり、以下のように定義している。

3.2.36 ソフトウェアアズアサービス,SaaS(Software as a Service,SaaS)
クラウドサービスカスタマ(3.2.11)に提供されるクラウド能力型(3.2.4)がアプリケーション能力型(3.2.1)のクラウドサービス区分(3.2.10)。

3.2.30 プラットフォームアズアサービス,PaaS(Platform as a Service,PaaS)
クラウドサービスカスタマ(3.2.11)に提供されるクラウド能力型(3.2.4)が,プラットフォーム能力型(3.2.31)であるクラウドサービス区分(3.2.10)。

3.2.24 インフラストラクチャアズアサービス,IaaS(Infrastructure as a Service,IaaS)
クラウドサービスカスタマ(3.2.11)に提供されるクラウド能力型(3.2.4)が,インフラストラクチャ能力型(3.2.25)であるクラウドサービス区分(3.2.10)。

   注記 クラウドサービスカスタマ(3.2.11)は,システムの基盤となる物理的リソース・仮想化リソースの管理又は制御を行わないが,物理的
      リソース・仮想化リソースを利用するオペレーティングシステム,ストレージ及び配置されたアプリケーションの制御を行う。
      クラウドサービスカスタマ(3.2.11)は,特定のネットワークコンポーネント(例えば,ホストファイアウォール)を対象として,
      限定的な制御を行う能力をもつ場合もある。

(ISO/IEC 17788:2014 (JIS X 9401:2016)  より引用)

 Web会議システム(Web会議システム、チャット、オンライン商談、オンライン面接システムなど)、労務管理システム(勤怠・労務管理システムなど)及び電子化システム(ペーパレスシステム:請求書発行システム、承認(ワークフロー)システムなど)は、SaaS(Software as a Service)型の形態であることが多く、比較的容易にライセンスを購入でき、すぐに利用できるものが多い。
 一方、クラウドサービスは形態や提供されるリソース、アプリケーションによってリスクが異なる。このことは、クラウドコンピューティングに関するリスクに加え、それを利用したクラウドサービスそのもののリスクも考慮する必要があることを意味する。クラウドサービスのリスクについて検討する際に重要なのは、自らがクラウドサービスプロバイダ、クラウドサービスカスタマのどれであるかを認識するとともに、それぞれが果たすべき役割を全うしていることを確実にすることである。