ICTを利活用した働き方改革の推進やSNSを利用した広報の有効性が既知となり、無料で利用出来るフェイスブックやツイッターをはじめ、有料のパブリッククラウドサービス(SaaS/PaaS)を業務に取り入れようとする組織が増えています。
これらのサービスは、無料有料を問わず利用時にサービス提供者が定める利用規約に同意する必要があり、約款による外部サービスと呼ばれます。
パブリッククラウドでの要機密情報の利用可否が問題
サービス提供者の一方的に定める利用規約に同意しないと使うことが出来ない、約款による外部サービスには、パブリッククラウドのSaaSやPaaS、あるいはパブリッククラウド上のグループウェア等があります。
これらサービスは、インターネット回線を利用して、様々な端末から共同利用することが可能なので、業務に利用することで多くのメリットがあります。
反面、インターネット環境におかれているための情報漏えいリスクや、サービス提供者に有利となる利用規約のため、業務継続性が保障されないリスクなども多くあります。
リスクが多いですが、実際の運用では、個人情報をはじめとする重要情報が扱えないと業務利用シーンが限られるし、それでは働き方改革が停滞するじゃないかという声が多く多くあります。
AWSは安全という評判だから個人情報が扱えるだろ?
セールスフォースは国のシステムでも使われているから安心だろ?
等々さまざまな議論が交わされ、私も明確な答えを用意すべく、我が組織が定めるセキュリティポリシーに準拠するサービスなら重要情報が使えるのではないかと考え、大手クラウドサービスのホワイトペーパーを読み漁ったりして、「このクラウドなら使って良い」というホワイトリストを用意出来ないか、ということも考えました。
考えすぎて他の仕事が停滞し「クラウドサービスなんて一切使うな!」と何度も叫びつつ、昨年末から続くパブリッククラウド推進派との決着がようやく見えてきましたので、組織において、約款による外部サービスをどうのように利用すべきか、我が組織ではどのように舵を切ろうとしているのか、国の指針をもとにご説明していきます。
政府機関等の情報セキュリティ対策のための統一基準群について
ICTを利活用した働き方改革は、「とりあえずやってみる」「スピードだ、効率だ」「ペーパーレスだ」「便利だ便利だ、業務改革だ!」「クラウドサービスは最高!!」と突き進みます。
ほっておくと勝手に、約款による外部サービスで要機密情報でも平気で利用しようとするので、どこの組織の情報セキュリティ担当も少なからず利用にかかるルール作りに頭を悩ませているでしょう。
このルール作りに役立ち、ルールの根拠として最適なドキュメントが、内閣サイバーセキュリティセンターが用意した、政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)です。
「政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)」について
サイバーセキュリティ戦略本部は、サイバーセキュリティ基本法(平成26年法律第104号)第25条第1項第2号において、国の行政機関等のサイバーセキュリティに関する対策の基準を作成することとされています。これに基づき、平成28年8月31日、「政府機関等の情報セキュリティ対策のための統一基準群」(以下「統一基準群」という。)を決定しました。
統一基準群は、国の行政機関及び独立行政法人等の情報セキュリティ水準を向上させるための統一的な枠組みであり、国の行政機関及び独立行政法人等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項を規定しています。
統一基準群を構成する主な文書は以下のとおりです。
・政府機関の情報セキュリティ対策のための統一規範
・政府機関等の情報セキュリティ対策の運用等に関する指針
・政府機関の情報セキュリティ対策のための統一基準(平成28年度版)
・府省庁対策基準策定のためのガイドライン(平成28年度版)
これら文章のなかで、約款による外部サービスの利用について言及されており、セキュリティ対策がもっとも必要とされる国の行政機関および独立行政法人等のベースラインとなる基準群を参考にすることは、誰にも説明がしやすく、理にかなっているでしょう。
約款による外部サービスの定義
統一基準群における約款による外部サービスの定義は次のとおりです。
民間事業者等がインターネット上で不特定多数の利用者(主に一般消費者)に対して提供する電子メール、ファイルストレージ、グループウェア等のサービスが代表的であり、有料、無料に関わらず、画一的な約款や利用規約等への同意、簡易なアカウントの登録(登録が不要な場合もある)等により利用可能なサービスは、約款による外部サービスとなる。その他にインターネットの検索サービスや辞書サービス等も約款による外部サービスに該当する。また、行政事務従事者自身が取得した電子メールアカウント等を業務で利用する場合についても約款による外部サービスの利用に当たる。
「有料、無料に関わらず、画一的な約款や利用規約等への同意、簡易なアカウントの登録(登録が不要な場合もある)等により利用可能なサービスは、約款による外部サービスとなる」という定義でいうなら、個人で利用するのに馴染みのあるフェイスブックやツイッターをはじめ、有料のクラウドサービス(Saas/Paas)、あるいはGoogleDriveやGmailなどは全て約款による外部サービスとなります。
政府機関では要機密情報の取り扱いは禁止だった
(外部委託)
第十六条 府省庁は、情報処理に係る業務を外部委託する場合には、必要な措置を定め、実施しなければならない。
3 府省庁は、要機密情報を約款による外部サービスを利用して取り扱ってはならない。
政府機関の情報セキュリティ対策のための統一規範では、要機密情報(企業秘密・顧客情報など)は約款による外部サービスで取り扱うことを禁止しています。
また、 政府機関の情報セキュリティ対策のための統一規範に基づく政府機関における統一的な枠組みの中で、府省庁それぞれが情報セキュリティの確保のために必要とされる対策、及びその水準を更に高めるための基準を定めた、政府機関の情報セキュリティ対策のための統一基準の中でも約款による外部サービスの利用について、同様に書かれています。
要機密情報を取扱えないとする理由
統一基準群で、約款による外部サービスで要機密情報を扱うことが禁止されているのはお分かりいただけたと思います。
では、なぜ禁止されているのか、その理由も述べられているのでご紹介します。
約款による外部サービス利用に当たって考慮すべきリスクには、以下のようなものがある。統括情報セキュリティ責任者は、これらのリスクを受容するか又は低減するための措置を講ずることが可能であるかを十分検討した上で、許可する業務の範囲を決定する必要がある。
• サービス提供者は、保存された情報を自由に利用することが可能である。また、約款、利用規約等でその旨を条件として明示していない場合がある。加えて、サービス提供者は、利用者から収集した種々の情報を分析し、利用者の関心事項を把握し得る立場にある。
• 情報が意に反して公開されてしまった場合や、情報が改ざんされた場合でも、サービス提供者は一切の責任を負わない。
• サービス提供者が海外のデータセンター等にサーバ装置を設置してサービスを提供している場合は、当該サーバ装置に保存されている情報に対し、現地の法令等が適用され、現地の政府等による検閲や接収を受ける可能性がある。
• 突然サービス停止に陥ることがある。また、その際に預けた情報の取扱いは保証されず、損害賠償も行われない場合がある。約款の条項は一般的にサービス提供者に不利益が生じないようになっており、このような利用条件に合意せざるを得ない。また、サービスの復旧についても保証されない場合が多い。
• 保存された情報が誤って消去又は破壊されてしまった場合に、サービス提供者が情報の復元に応じない可能性がある。また、復元に応じる場合でも復旧に時間がかかることがある。
• 約款及び利用規約の内容が、サービス提供者側の都合で利用開始後事前通知等無しで一方的に変更されることがある。
• 情報の取扱いが保証されず、一旦記録された情報の確実な消去は困難である。
• 利用上の不都合、不利益等が発生しても、サービス提供者が個別の対応には応じない場合が多く、万が一対応を承諾された場合でも、その対応には時間を要することが多い。
要約すると、「サービス提供者に都合よく作られている利用規約に同意する以上、そんなサービスで要機密情報を扱うわけにはいかない」ということです。
クラウドサービスのホワイトペーパーでいかに安全だと示されていようとも、肝心な部分については一切責任を負わないことが規定されている利用規約である以上、要機密情報の扱い可否については議論の余地なく否です。
他にも次のような点が問題となります。
- 約款による外部サービスを利用する部署に、技術的セキュリティ対策の知見を持ち、永続的にサービスの保守管理が出来る者が配属される保証がないため、機密情報を扱うのは危険である。
以前に(趣味をこじらせた)特定の職員がアクセスやエクセルで作ったシステムが多数残っているが、人事異動や退職に伴い、改修できる職員がいなくなり、使用不能となって以降、仕方なく効率の悪い事務をしている所属は多く、Saasやpaasでも同じことが懸念されます。
これまで事務処理用PCにインストールされ個人情報を扱ってきたエクセルやアクセスでは担保されていたセキュリティ対策についても、外部サービスでは利用者の責任で実施する必要があるし、重要情報を扱うならアクセスログの定期的な分析など一定のICTスキルを持つ者が常時配属され続ける必要があります。
今、パブリッククラウドを業務に使いたいと言っている社内ユーザーは、パブリッククラウドを活用しセキュリティ対策を実施するスキルが仮にあるとしても、そのユーザーが異動したのち、クラウドサービスのメンテナンスやセキュリティ対策の実施・確認できる者がいる保証がありません。
我が組織では約款による外部サービスで要機密情報の取扱いは禁止です
昨年来、我が組織ではパブリッククラウドのSaaSやPaaSで要機密情報を扱ってよいのかという議論を続けてきました。
が、結果として、部署が直接クラウドサービス提供者に利用申し込みをおこなう、すなわちサービス提供者の利用規約に同意させらるシステム(SNS含む)すべてにおいて、要機密情報の取扱いを禁止することを、明確化、することになります。
反面、「こういうシステムが必要」という部署のオーダーに基づき、組織とシステムベンダーとの間でシステム調達の業務委託契約を締結し、その契約の中で受託者があらゆる責任を持ってパブリッククラウドをシステムの一部に利用するというのであれば、要機密情報を扱えるとします。
堅牢かつ一定水準のセキュリティ対策もなされているクラウドサービスがあることは重々承知しています。
しかし、100万件を超える個人情報をはじめ、守るべき要機密情報が溢れる組織において、サービス提供者に有利となる利用規約に我が組織が同意してまで、現金よりも大切な情報を扱うことはしません。
リスク評価することも求められます
統一基準群では、要機密情報を取り扱わないことの他、利用するサービスやシステムのリスク評価を行い、利用の可否を判断することも併せて求められています。
組織においては、パブリッククラウドを業務に利用する際のリスクの洗い出しが正しく出来る人材がいるのか?も考えていく必要があります。
便利さに潜むリスクを知らずに働き方改革は出来ない
パブリッククラウドなど約款による外部サービスを利用することで、開発工数、保守運用費用などが削減出来て、業務効率が上がり、労働時間が短縮(残業削減)出来るという意見はもっともです。
反面、利用することで顕在化する数々のリスクを知り、適切にリスクコントロールし続ける必要があることを知らなけれななりません。
パブリッククラウドのアカウントは安価でも、情報セキュリティ対策は利用者の責任であり、多くの労力が必要です。
それを知らず、パブリッククラウドのカタログだけ見て、何もしなくても安全と思い込み、IPアドレスによるアクセス制限すら出来ない、あるいは確認出来ないのに、顧客情報を扱って良いわけがありません。
データは現金より大切です。
しかしデータは現金より盗まれやすく、失いやすい。
クラウドサービス提供者の利用規約に一方的に同意させられるサービスで、個人情報をはじめとする重要情報は取扱えるものではありません。
要機密情報を扱うシステムに、便利で安価なパブリッククラウドを使いたければ、システム開発保守業者と業務委託契約を締結し、システムの機密性、可用性、完全性についての必要な対策を行わせ続けることを担保させることを、政府は統一基準として求めているのです。