クラウド化がもたらすリスク、サーバ所在地が日本国内でない場合の問題点とは|サイバーセキュリティ.com

クラウド化がもたらすリスク、サーバ所在地が日本国内でない場合の問題点とは



今、世間では「クラウド化」が進んでいます。複雑化・専門化が進むシステム分野において、要員の確保は益々難しくなっていますから、外出しできるものは外部に任せたい、と考えるのは経営者として至極真っ当な話です。

とはいえ、今までと違うことをするからには、新しいリスクが出てくるのですが、そこに気づいていないケースがとても多いものです。今回は、クラウド化で問題になるケースを考えてみます。

クラウドデータは雲の中にあるわけではない

“クラウド”という言葉が良くないと思うのですが、あまりシステムを意識しない人には、「クラウド化されたデータはどこにあるかわからないもの」と、勘違いされている方も多いものです。

もちろん、そんなことは無く、どんなクラウドデータでも必ずどこかのサーバに保管されています。じゃないと、呼び出しできませんからね。

クラウドデータはどこの国のサーバにある?

さて、それではそのクラウドデータが入っているサーバは「どこの国」にあるのかすぐ答えられますか?なんとなく「日本国内だと思っていた」だと危険です。

クラウドでシェアの大きいAWSやAzureはアメリカの会社のサービス。クラウドサーバがアメリカにある、なんてことも多いのです。国外にクラウドサーバがある場合のリスク。これを把握していないと、とんでもないことになる可能性があることをご存知でしょうか。

レスポンスの問題

サーバの所在が遠方にあると、一般的にはサーバに辿り着くまでに中継するサーバも増えます。そうするとレスポンス時間が長くなって、ユーザーの不満が出ることが考えられます。

CDN(コンテンツデリバリネットワーク)で解決可能

これはCDN(コンテンツデリバリネットワーク)を利用することで解決できます。CDNとは、簡単に言えばクラウドデータのコピーを世界各地に作って、ユーザーから近いコピーサーバにアクセスさせるサービスです。これなら、国内にサーバがあるのと同じですからレスポンスが下がることはありません。

ただし、一つ気を付けなければいけない点があります。それはデータベースサーバが国外にあるケースです。

セキュリティの確保が難しい

例えばwebサーバであれば、公開しているものですから、誰が見ても大丈夫ですし、いくらコピーしても、まず問題は生じないでしょう。しかしデータベースサーバはどうでしょう。

顧客サービス用データベースのように、多くの人がアクセスし、かつアクセス制御もしっかりやらなければならないようなものでは、いくつもデータをコピーしていたらセキュリティの確保や同期が大変です。

こういったサーバはCDNを利用できませんから、レスポンスの改善ができないということになります。アクセス数の多いデータベースは国外のクラウドサーバに置かない方が無難でしょう。

法的な問題

もっと重要なのが、法的な問題です。特に個人情報保護法。顧客情報データベースが国外にあるとなると、検討しなければならないリスクがいくつもあります。

外国の第三者への個人情報提供は原則禁止

まず認識が必要なのが、基本的に外国の第三者に個人情報を提供することは原則として禁止だということです。データが入っているサーバが外国にあったとしても、それだけで提供しているわけではありませんが、サーバ業者がデータを見ることができる状態だと、”提供”と見なされるため、業者に対しても「アクセス制御」ができなくてはいけません。

この時に注意が必要なのは、「論理的アクセス制御」だけでなく、「物理的アクセス制御」も意識する必要があることです。

論理的アクセス制御は、まず、どこの業者でも行われていますが、物理的アクセス制御(メンテナンスでサーバを触る場合に誰がいつどんな作業したのか記録が残っているか等)まで保証しているかどうかは、業者を選ぶ際に重要です。

個人情報提供者の同意が必要

その上で、外国の事情を考慮する必要があります。個人情報保護法で言う「外国の第三者」とは外国政府も含みますので、外国の法令で業者が政府にデータの提供を行った場合でも”提供”となります。”提供”となる以上、個人情報保護法上、本人の同意は必要となりますが、外国の法令で実施されることを「本人の同意が無いから」と止めることは不可能です。

こう考えると、少なくとも「個人情報を外国のサーバに置いてあること」は、予め個人情報の提供者に知らせておく必要があるでしょう。知らないうちに自分の個人情報が外国政府に渡っていた、なんてことになったら利用者の怒りは相当なものになってしまいます。

まとめ

クラウドの利用は効率的ですし、積極的に活用すべきサービスだと思います。

ただし、クラウドにはクラウド特有のリスクが存在します。特に個人情報が関わってくると、有事の際、莫大な賠償が発生する場合もありますので、自社で利用するクラウドサービスがどのような状態に置かれているかは、しっかりと確認しておきましょう。


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。