多くの企業で利用が広がるクラウドサービス
今は昔と違い、社内で使うシステムをすべて「自社開発」で賄うといったことはほぼない。経理や人事等のバックオフィス業務ではTV CMでもよく見かけるほどクラウドサービスの利用が「当たり前」になってきている
バックオフィス系だけではない。様々な分野のクラウドサービスを多くの企業で利用している
- コミュニケーション:Slack、Teams、Chatworkなど
- ドキュメント作成管理:Microsoft365, Google documents, Notionなど
- web会議:zoom, Google meet, teams
- パブリッククラウド:Microsoft Azure, Google Cloud Platform, Amazon AWS
- プロジェクト管理:Asana, Backlog
- PCスマホデバイス管理:Microsoft Intune, Jamf
なぜここまでクラウドサービス利用が拡大しているのか。概ね以下のような理由だと思われる
- 設計開発等の初期費用がほぼ不要
- 運用コストも安価
- サービス維持にリソース(ヒト、カネ)をかける必要がない
ISO 27001:2022で追加されたA5.23とは
A.5.23 (クラウドサービス利用における情報セキュリティ)は、ISMS27001が2013から2022版に更新された際に追加された管理策の1つである
前述したようにクラウドサービスの利用はどんどんと増えてきた。一方で利用が増えていくにつれ、新たなセキュリティ問題が顕著になってきている
- クラウドサービス事業者に起因する問題
- クラウドサービスから利用者の情報が漏えいししまう
- クラウドサービス利用終了時に利用者データを回収できない
- データの所在する国の法規制によるデータ消失
- クラウドサービスを利用する企業組織に起因する問題
- 運用管理の不備による情報漏えい(例えば退職者による情報搾取や、不要な権限付与による過失リスク増大)
- クラウドサービスの契約時の確認不足による必要セキュリティ対策の実施不可
次回ではA.5.23をクリアし、クラウドサービス利用が発端となるセキュリティリスクをどう回避するのかについて書いてみたい
コメント