投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2024.6.25
(更新:2024.9.11)
外部サービスを導入する際のセキュリティ面のポイントを考えてみます。
〇「クラウドサービスやウェブサイトの運用等で利用する外部サービスは、安全・信頼性を把握して選定していますか?」
クラウドサービスなど外部サービスをコスト(価格の安さ)のみで選んでしまうと、障害等でサービスが利用できなくなっても補償を受けられない等、予想外の不都合が生じる場合もあります。
外部サービスを選定する際は、性能や信頼性、セキュリティ対策の実施状況、補償内容なども十分に吟味しましょう。
〇対策例
・外部サービス利用に先立ち、求める要件や仕様、サービス水準やセキュリティ水準などを明らかにする。
・外部サービス事業者を選ぶ際、利用規約や補償内容、セキュリティ対策の実施状況などが求める内容を満たしているか確認する。
(以上「5分でできる!情報セキュリティ自社診断」(2023.12.7 Ver.5.3)設問No.23及びその解説編の記述を参考に、筆者の意見も交えて構成しました。)
*「5分でできる!情報セキュリティ自社診断」は、IPAの「中小企業の情報セキュリティ対策ガイドライン」のページに「付録3」として登録されており、誰でもダウンロードが可能です。
〇トラブル防止のため「責任の空白地帯」を作らぬ配慮を
もう一つ、外部サービスを利用する際は、サービスを提供する事業者とクライアントである皆様との間で、セキュリティに関する「責任の分界点」を明確にしておくよう配慮することをお勧めします。
クライアント側は「この内容は外部サービス事業者が対応してくれるはず。」と思い込んでいても、
外部サービス事業者は「契約書で取り決めのないことは責任の範疇ではない。」
と、認識のギャップが存在することが現実には珍しくありません。
これら「責任の空白地帯」を衝くサイバー攻撃などセキュリティインシデントが実際に発生しています。
外部サービスを利用する際は、サービスを提供する事業者とクライアントである皆様との間で、セキュリティに関する「責任の分界点」を明確にしておくよう配慮することをお勧めします。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comments