Google ドライブ と第三者認証＆監査（ISMS、プライバシーマーク）前編

情報セキュリティを考える中で、情報セキュリティの第三者認証（ISMSやプライバシーマーク）取得を切り離して考えることは出来なくなってきました。

約10年以上前、2010年頃でしょうか「クラウドにデータを置くなんてとんでも無い！」という風潮がまだまだ根強い頃だったことを記憶しています。当時は何か良く判らないけど、会社の中に置いておけばセキュリティも安心だし、目の前にサーバーがあるから何か安心。機器を納入してくれるベンダーも、他社も皆そうしていると言っているから心配ない。という雰囲気があった様に記憶しています。

ところが、社内サーバーに保管していた情報も、2011年東日本震災のときには、社内に置いていたサーバー（データ）が被災することで使えなくなったり、紛失したりといった事件が相次いで中には廃業した会社もあったそうです。結果、社内に置くということが決してリスクが低いものでは無いということが世の中に広く知られる様になった転機でした。

これをきっかけに世のクラウド化がどんどん進んだ印象があります。

上記の様な流れを経て、「クラウドって何？」という時期から、現在は「クラウドサービス使ってないの？」という様な雰囲気に変わっていく中で、クラウドサービスが身近になった結果、それに寄り添う形で認証機関での認識も大きく変わってきた様に思われます。

実際に安心なだけでなく、クラウドはリソースを持たなくて良いので、利便性に優れていますよね。しかし闇雲にただ利便性を追及するだけでは、何かを起こしてしまった場合、手が届かない場所にある分リスクのほうが大きくなります。

この記事ではクラウドを利用しながら新たに第三者認証（ISMSやプライバシーマーク）取得を行い、安全性も高めていくための注意事項について紹介していきます。

各社有名どころのクラウドサービス対応状況

※記載が無いサービスの対応状況は、各サービスの運営元にお問い合わせを行うなど要検討ください。

Google のセキュリティ体制は？

Google のデータセンターは、上記に加えて米国で最も厳しい監査基準と言われている SAS 70 Type II 認証を取得しています。Google のセキュリティ管理は関連サービスである Google ドライブにも及ぶため安心して利用することができます。

信頼性の詳細については下部のホワイトペーパーをご覧ください。

Googleのセキュリティに関するホワイトペーパー
https://cloud.google.com/security/overview/whitepaper?hl=ja

Google ではそのほかにも様々な対策がなされています。

✔ Google は保管されたデータを全て暗号化しています

✔ PCとメールサーバー間の通信が暗号化

✔ データの保全は Google にて

✔ アクセス履歴も180日以内なら取得可能（それ以上の期間は Vault を使うことで可能）

✔ 二段階認証

結論

対外的にも一定の評価を得ているクラウドサービスは、ISOなどの第三者による認証を取得しており、提供を受ける利用者側としてセキュリティをほとんど気にする必要がありません。

反面、運用元がいかに優れた方法で管理していても、利用者側の利用方法に問題が起きれば事故が起きるのは避けられません。どんなに安全に管理できるシステムであっても人間が使う以上、事故が発生する要因は無くならないからです。

人的な共有ミスについては、Googleドライブだけに限らず、クラウドサービスを利用するうえでの共通の課題なのです。

では、何が課題となるのでしょうか？

どんなに優れたサービスを利用して、確実に情報漏えいが置きないルールを定めても、そのとおりに運用出来ていなければ、意味は薄れてしまいますよね。

検討すべきは自社の情報管理上の課題を洗い出すことでしょうか。

社内機密を漏洩する様な事故を起こしてしまえば、社員も会社もダメージを受け、社会的な信用を一瞬で失ってしまうことになりかねません。

だからこその第三者認証の出番です。

第三者認証を取得するための準備とリスク対策がそれらの不安を安全に解決する糸口になるでしょう。

第三者認証とは

国内で一般的に知られている第三者認証にはISMSとPマークがありますが、それらの特徴を簡単にまとめてみました。

第三者認証取得にあたっての検討ポイントは自社の利用している情報資産（社内情報やクラウドサービスなど）の性質が、個人情報か情報資産どちらに合致するか、認証を取得した結果どちらが安全に運用出来るかを主として検討し、発生しうるリスクを把握し、それに対する対処を検討しておくことが重要と考えられます。

当社での取り組み状況

1. 第三者認証に出会うまで

今日どんなに良いサービスを提供しても、情報管理がおざなりではお取引先様に信用されませんし、何かあった際にお客様と社会にご迷惑を掛けてしまうため、会社を存続するために情報管理は最優先課題となります。

当社は創業10年目に近づく頃、大きな企業様とのお付き合いが増えていく中で、負担が少なく安全に管理する方法はないかと調べる中でISMSやPマークなどの第三者認証を知ることが出来ました。

2. 第三者認証はISMSを選択

プラバシーマークが個人情報を主に検討された仕組みで、範囲が「個人情報保護」が中心であるため、ISMSのほうが、より広い範囲で全社の情報保護に焦点があたっていると判断しました。

当社は個人利用者向けのサービス提供などは行っておらず、事業形態がBtoBを主とする形態だったため、比重でいうと個人情報をほとんど扱わない弊社は、より管理する実態に望ましいISMSを選択しました。

3. 第三者認証を検討中に課題を感じて「DriveChecker」考案

Google ドライブではその自由度により、会社で導入していれば各社員が簡単に外部取引先へファイル共有が出来てしまいます。

これは本当に便利です。

ただ、共有しているファイルが 100,000 個を越えたあたりで、愕然としました。誰がどんなファイルを何のために共有しているかが管理者が追いにくいのです。今は良くても、将来はファイルが多くなり、手が負えなくなることも考えられます。何より目が行き届かない結果、事故を誘発する要因が否定出来ないため、上手に使うにはこれらのリスクに備える必要があります。

※リスクを検討した結果、ファイルを外部共有しないという選択をした会社様がいることも耳にしました。

当社は便利な Google ドライブをリスクを受け入れつつ、管理していくという方法を選択しました。

DriveCheckerとは
「DriveChecker」は第三者認証取得を意識して考案されたサービスです。Google 標準の共有管理機能でファイル状況を管理する方法はありますが、管理者がより負担無く安心で確実に管理していくことに必要があり、ヒューマンエラーに対して目の行き届かない課題がありました。
Googleドライブは個々のファイル共有について管理者が十分に確認する機能にやや弱さがあるため、使い方によっては結果的にシャドーITとなる可能性に不安を感じました。

4. 審査を経て

実際に当社でISMS（ISO27001、27017）認証審査の際には、共有先の管理方法、事故が起きた際のリスク対策など、このあたりを厳しくチェックされ、実際の管理方法について課題が見つかった結果「DriveChecker」を開発しました。

DriveChecker が出来たことで、共有管理が定期的に行われ、状況に応じて管理者が共有先を解除するといった管理策を仕組み化できました。

5. ISMSを取得してよかったこと

• 取引先からの信頼感アップ
• 取引条件としてクリア
• 情報保全のための目安を知れた
• 安全に情報管理していくための施策が身についた
• 取得することがBCP対策にもつながること
• 内部監査などにより、定期的な見直しの仕組みが定着できたこと

前編はここまでとなります。

せっかく第三者認証を取得しても形骸化する様では意味がないですし、手間ばかりかかって、リスクが減らないのでは本末転倒ですが、ではリスクを減らせるからと言って手間ばかり増えるのも論外となります。

認証取得は手段であって、本質的な目標はいかに会社としての負担が少なく無く、リスクを減らせるかそれに尽きる様に思います。会社最適化のためにコストを下げ、利便性を上げるために外部のクラウドサービスは素晴らしい手段となりますが、何事もバランスです。

後編では特に DriveChecker を使うことで、上記の様な課題について第三者認証を取得する際にどの様なメリットがあるか、またリスク管理にどの様に役立つかを紹介していきます。

後編はこちら