現在、クラウドを導入、使いはじめるユーザは日々増加しています。その勢いは衰えることを知りません。そして、それに伴い、国内外問わず、新しいクラウドサービスが誕生しています。
導入の際、インターネット、クラウドプロバイダーから様々な最新情報を取り入れることができるでしょう。しかし、それの良し悪しを見極めるにはきちんとした基本を抑える必要があります。
そのような場合、何を頼るべきでしょうか。
実は公的機関からクラウド導入の際のガイドラインが発行されているのをご存知ですか?
今回はいくつかのガイドラインをご紹介します。

経済産業省

経済産業省は2014年3月に「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を改訂しました。
初版からクラウドサービスの多様化による情報セキュリティリスクの顕在化にともなって、現状に合わせた内容の追加、編集が行われています。
また、企業より具体的な対策、事例の記載の希望が多かったため、活用ガイドブックも新たに作成されました。こちらではクラウドサービス利用におけるリスクに対しての解説と、該当するクラウドセキュリティガイドラインの紐付けが行われています。
ガイドラインでは、情報セキュリティマネジメントのベストプラクティスをまとめた国際規格(ISO/IEC27002:2005)を参照して、情報セキュリティ確保のために、クラウド利用者自ら行うべきことと、クラウド事業者に対して求めるべきことがまとめられているとのことです。
また新たに作成した活用ガイドブックでは、
(1)クラウドサービスの構造
(2)クラウドセキュリティの考え方
(3)ガイドラインを利用したリスク分析手法
(4)クラウド利用者のためのガイドライン活用
(5)クラウド事業者のためのガイドライン活用
(6)クラウド契約時の契約書やサービスレベル合意書(SLA)
が具体的にに説明されています。
是非活用されてみてはいかがでしょうか。
<クラウドサービス利用のための情報セキュリティマネジメントガイドライン>

独立行政法人情報処理推進機構

こちらは情報処理試験でお馴染みのIPAです。こちらでも中小企業向け、となりますが、「クラウドサービス安全利用のすすめ」というガイドラインを提供しています。こちらでもクラウドを安全に利用するにあたっての確認項目を掲載しています。サービス導入の際の目安の一つとして、確認すると良いかと思います。
またIPAではクラウドを導入した企業の情シス担当にアンケートを実施し、導入の実態や、利用してみての課題などをまとめた報告書も数多く提供しています。こちらにも目を通すと、自社に似通ったケースを発見できるかも知れません。
<クラウドサービス安全利用のすすめ>

まとめ

セキュリティマネジメントガイドラインや、クラウド安全利用のすすめ、といったガイドラインが理解できると、自然と自社のシステムをクラウド上で正しく使うためのポイントがわかってくるのでは無いかと思います。そこを押さえて自社のシステムを確認すると、選定するクラウドの種別も想像がつき、クラウドプロバイダーの担当にきちんと導入の際に気になる項目が確認できるようになるのではないでしょうか。是非ガイドラインを活用して、安心、安全にクラウドサービスを利用しましょう。