サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

クラウド化がもたらすリスク、サーバ所在地が日本国内でない場合の問題点とは



今、世間では「クラウド化」が進んでいます。複雑化・専門化が進むシステム分野において、要員の確保は益々難しくなっていますから、外出しできるものは外部に任せたい、と考えるのは経営者として至極真っ当な話です。

とはいえ、今までと違うことをするからには、新しいリスクが出てくるのですが、そこに気づいていないケースがとても多いものです。今回は、クラウド化で問題になるケースを考えてみます。

クラウドデータは雲の中にあるわけではない

“クラウド”という言葉が良くないと思うのですが、あまりシステムを意識しない人には、「クラウド化されたデータはどこにあるかわからないもの」と、勘違いされている方も多いものです。

もちろん、そんなことは無く、どんなクラウドデータでも必ずどこかのサーバに保管されています。じゃないと、呼び出しできませんからね。

クラウドデータはどこの国のサーバにある?

さて、それではそのクラウドデータが入っているサーバは「どこの国」にあるのかすぐ答えられますか?なんとなく「日本国内だと思っていた」だと危険です。

クラウドでシェアの大きいAWSやAzureはアメリカの会社のサービス。クラウドサーバがアメリカにある、なんてことも多いのです。国外にクラウドサーバがある場合のリスク。これを把握していないと、とんでもないことになる可能性があることをご存知でしょうか。

レスポンスの問題

サーバの所在が遠方にあると、一般的にはサーバに辿り着くまでに中継するサーバも増えます。そうするとレスポンス時間が長くなって、ユーザーの不満が出ることが考えられます。

CDN(コンテンツデリバリネットワーク)で解決可能

これはCDN(コンテンツデリバリネットワーク)を利用することで解決できます。CDNとは、簡単に言えばクラウドデータのコピーを世界各地に作って、ユーザーから近いコピーサーバにアクセスさせるサービスです。これなら、国内にサーバがあるのと同じですからレスポンスが下がることはありません。

ただし、一つ気を付けなければいけない点があります。それはデータベースサーバが国外にあるケースです。

セキュリティの確保が難しい

例えばwebサーバであれば、公開しているものですから、誰が見ても大丈夫ですし、いくらコピーしても、まず問題は生じないでしょう。しかしデータベースサーバはどうでしょう。

顧客サービス用データベースのように、多くの人がアクセスし、かつアクセス制御もしっかりやらなければならないようなものでは、いくつもデータをコピーしていたらセキュリティの確保や同期が大変です。

こういったサーバはCDNを利用できませんから、レスポンスの改善ができないということになります。アクセス数の多いデータベースは国外のクラウドサーバに置かない方が無難でしょう。

法的な問題

もっと重要なのが、法的な問題です。特に個人情報保護法。顧客情報データベースが国外にあるとなると、検討しなければならないリスクがいくつもあります。

外国の第三者への個人情報提供は原則禁止

まず認識が必要なのが、基本的に外国の第三者に個人情報を提供することは原則として禁止だということです。データが入っているサーバが外国にあったとしても、それだけで提供しているわけではありませんが、サーバ業者がデータを見ることができる状態だと、”提供”と見なされるため、業者に対しても「アクセス制御」ができなくてはいけません。

この時に注意が必要なのは、「論理的アクセス制御」だけでなく、「物理的アクセス制御」も意識する必要があることです。

論理的アクセス制御は、まず、どこの業者でも行われていますが、物理的アクセス制御(メンテナンスでサーバを触る場合に誰がいつどんな作業したのか記録が残っているか等)まで保証しているかどうかは、業者を選ぶ際に重要です。

個人情報提供者の同意が必要

その上で、外国の事情を考慮する必要があります。個人情報保護法で言う「外国の第三者」とは外国政府も含みますので、外国の法令で業者が政府にデータの提供を行った場合でも”提供”となります。”提供”となる以上、個人情報保護法上、本人の同意は必要となりますが、外国の法令で実施されることを「本人の同意が無いから」と止めることは不可能です。

こう考えると、少なくとも「個人情報を外国のサーバに置いてあること」は、予め個人情報の提供者に知らせておく必要があるでしょう。知らないうちに自分の個人情報が外国政府に渡っていた、なんてことになったら利用者の怒りは相当なものになってしまいます。

まとめ

クラウドの利用は効率的ですし、積極的に活用すべきサービスだと思います。

ただし、クラウドにはクラウド特有のリスクが存在します。特に個人情報が関わってくると、有事の際、莫大な賠償が発生する場合もありますので、自社で利用するクラウドサービスがどのような状態に置かれているかは、しっかりと確認しておきましょう。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。