タグ: クラウドサービス

クラウドサービスを安全に利用するために、セキュリティについて導入時に確認しておくべき5つのポイント

クラウドサービスを安全に利用するために、セキュリティについて導入時に確認しておくべき5つのポイント

メールマーケティングノウハウ • 2017.03.06

こんにちは。Benchmark Email(以下、ベンチマーク)エバンジェリスト笠原です。 普段はベンチマークの操作サポートの責任者をしております。お客様の利用方法を伺い、適切かつ効果的な運用のアドバイスを心がけています。基本的にオンラインでご契約を進めるサービスですが、お客様と直接お話をする機会が多い立場です。 その中でも特に懸念点としてご相談いただく点がセキュリティに関するところです。 ベンチマークのサービスはデータを皆様のPCにダウンロードする必要がなく、インターネット接続さえあれば、前に作業した内容をすぐに引き出せるいわゆる「クラウドサービス」です。 クラウドサービスは手軽に利用ができアクセスも容易ということでメリットを感じて導入する企業が増えています。すでに出来上がったサービスであり、ゼロから開発するよりもコストが安いという点も魅力の一つになっています。私たちも業務に関する様々な場面でクラウドサービスを利用しています。 今は当然のようにツールの便利さを享受していますが、導入の前には社内で様々な検討事項がありました。そのほとんどがセキュリティに関する事柄です。 お客様の情報や業務の機密情報を扱うため、絶対に確認をないがしろにできない部分だと思います。 そこで今回のブログでは、クラウドサービスを初めて検討する方に、セキュリティのどういった点を検討する必要があるのか。「そもそもどういう事を確認すればいいか分からない」という方へ紹介・解説をしていきたいと思います。 合わせてクラウドサービス提供側であるベンチマークのセキュリティについてもご紹介します。クラウドサービスを検討する上で、判断材料になればと思います。 導入前の知っておくべき注意点 経済産業省がクラウドサービス導入を検討している企業向けに、チェックリストを公開しています。「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(以下、ガイドライン)」という名称です。クラウドサービスを利用するユーザー側と、サービスを提供する側に確認するべき事項がまとまっています。 全107ページの長いガイドラインとなり、読み進めるのは少し骨が折れます。 そこで普段のサポート業務から私が感じる、サービスの安全性を確認するために特に注目して欲しい点を以下にまとめました。 アプリケーション運用 ウィルススキャン 脆弱性検査は行っているか 個人情報の取り扱いの基準 サポート それぞれ確認をしていきましょう。 1.アプリケーションの運用(可用性・信頼性) サービスがどの期間稼働しているのか、またもしサービスが停止する場合はどの程度で復旧するのか、といった点は必ず確認しましょう。 導入したサービスがいきなり使えなくなったら、元も子もありませんね。 どんなに完璧で高度なシステムでも、何かが原因で不動作が発生することはあります。しかし事前にどの程度で復旧するのか、またこれまでどのような事象が発生していたのかを知ることでサービスの信頼性を計ることができます。 例えばベンチマークは24時間365日稼働しています。 メンテナンスが入る場合は事前に1週間前にアナウンスをします。 (操作画面にアクセスされたらポップアップで注意を出しています) また稼働状況については障害発生など5分間隔で監視を行っています。 2.ウィルススキャン 「アクセスしたら急にPCがブラックアウトした!」「身に覚えのない画面が急に出てきた!」なんてことがあったら、業務どころではありません。ウィルス攻撃がきっかけで、個人情報や機密情報が盗まれてしまうなど考えたくもありませんね。 検討しているサービスが定期的なウィルススキャンを行っているか、また預けている機密情報の漏えい防止に勤めるなど、どのような対策を取っているのか必ずチェックをしましょう。 ベンチマークのサーバーは24時間365日監視下に置かれ、不正なアクセスの侵入を常に監視しています。ウィルスが入らないように複数のファイアウォールを設置し、McAfeeのウィルススキャンを行っています。 もちろん配信するメールも保護の対象です。少しでも怪しいファイルが紛れ込むのを防ぎ、安全に受信がされるように添付ができないよう、フィルタリングを行います。 参考FAQ:「メールにファイルを添付できますか」 3.脆弱性検査とは 「完璧です」「万全です」といくら謳っていても、客観性がないと頼りなく見えますよね。 セキュリティの対策に問題がないか、客観的に確認をするのが脆弱性検査です。 この点を見定めるには、セキュリティーソフトを導入しているかどうかを確認する必要があります。 ベンチマークではMcAfee Security Auditorというプログラムを利用し、常に脆弱性の分析・保護を行っています。ウィルスに侵入されるきっかけとなるセキュリティホール(システム上の盲点や不具合)がないか、最新の規格に合わせてシステムを検証を行っています。万一脆弱性が明らかになった場合は、最優先で改善を行う体制となっております。 ベンチマークのセキュリティー対策についてはこちらをご覧ください。 セキュリティー & プライバシー 4.個人情報の取り扱い基準 セキュリティ面で問題がないと分かったら、次に提供元企業のサービス体制を確認しましょう。いくら万全なシステムであったとしても、サービス提供側が信頼できる管理体制であるか確認することをおススメします。 通常であれば個人情報を取り扱う業者は、顧客の許可がない場合、個人情報を第三者に販売・共有することはできません。個人情報が守られているかどうかを確認するための基準がセキュリティマーク、第三者評価となります。例えばプライバシーマークや、ISMSといった認証が一般的です。そのような文言が利用規約やプライバシーページに記載があるかを確認しましょう。 ベンチマークにおける個人情報の取り扱い基準は国際レベルに遵守しており、TRUSTeという国際認証ライセンスを取得しています。これは個人情報が万全の体制で保守され、的確に運用されている事を示すライセンスとなっております。 *実際のベンチマークのライセンスはこちらから確認いただけます。 またベンチマークは最も個人情報保護の基準が厳しいEU圏でもサービスを提供しています。 そのため、”EU-米国間におけるプライバシー・シールド協定”に準じた運用を行っております。 関連FAQ:Benchmark Emailにインポートしたデータは安全でしょうか? 5.サポート体制 セキュリティーとは少し、異なりますが、はじめてサービスを使う場合のトラブルシューティングはどうするのか、わからない事があったらどこに頼ればいいのか確認をしましょう! サポート体制があることで、安心してツールの導入を進めることにも繋がりますね。 ベンチマークには、頼れるスタッフが多くいます。 メールとチャットで、幅広く利用方法をサポートしております。 さいごに 私も今ではSlack、Jira、Teachme、Misoca、Zendeskとさまざまなクラウドサービスを活用して日々の業務に当たっています。 仕事柄、それらツールを使って社外には出すことのできない重要な内部情報のやり取りを行うこともあります。 そんな時、ツールの安全性を疑うことなく利用できるのは、ツール提供側がセキュリティー面でも安全対策を構築してくれている方に他なりません! このブログをきっかけにクラウドサービス導入を検討、決定する方の後押しになれば嬉しいです。 // <![CDATA[ (function(d){ if(typeof(window.NINJA_CO_JP_ONETAG_BUTTON_2f4e138f7719a5c3092c7264effeaf88)=='undefined'){ document.write("\"); }else{ window.NINJA_CO_JP_ONETAG_BUTTON_2f4e138f7719a5c3092c7264effeaf88.ONETAGButton_Load();} })(document); // ]]>


記事を読む