クラウド利用・提供における設定ガイドライン案を総務省が公開
最近頻発している企業によるクラウドサービス利用における、設定ミスが起因の情報漏洩事故を未然に防ぐため、総務省により「クラウドサービスの利用・提供における適切な設定のためのガイドライン(案)」が公開されました。
公開されたのはあくまで案であり、今後さらに内容を精査しガイドライン策定となります。
そのための意見募集を2022年8月24日(水)まで実施していますので、有識者の方はより良いガイドラインにするため意見を応募しましょう。
公開されたガイドライン案の感想
あくまでクラウドサービス全般に関する一般知識ですので、自社で利用するサービスにあわせた専門知識は当然必要です。しかし、どのサービス利用においても必要な基礎知識はひととおり網羅されているなと感じました。
たとえば自分でクラウドサービスを設定して運用するのではなく、SIerに運用を任せる場合には、どのように運用されているのかを発注側も理解している必要があります。運用のチェックのポイントを考える際に、このガイドラインを活用すると有効ではないでしょうか。クラウドサービスは設定ミスをすると、一気にインターネット上に情報が公開されてしまう恐れがありますので、ファイアウォール等で守られていた頃のチェック項目とは全くポイントが異なります。その辺りの勘所をつかむのにガイドラインは役立つのではないかと感じました。
「作業規則の整備」はクラウド設定ミスの事故抑制には非常に有効だと思いますが、小さい事業者ですと後回しになりがちです。本ガイドライン案ではそのあたりもバッチリ抑えており、これからクラウドサービスを本格利用しようという企業や、現在利用していて運用を見直そうと考える企業にもためになると思います。
意見とあわせ取組事例も募集中
この手のガイドラインへの意見募集については、ケチをつけるとキリが無いと思いますので、建設的な意見を述べるようにしましょう。「この内容だと薄すぎて役に立たない!」といった意見は、恐らく案作成サイドも分かっていてこのレベル感にしていると思いますので無意味です。こう改善すべきですとか、このような項目も追加してはどうか、といったことを実例に基づいて意見することなどが求められていると思います。
取組事例については、ガイドラインのベストプラクティスが更新できる可能性がありますので、好事例はどしどし応募すると、非常に糧になるのではないでしょうか。
最近は私もAWSやAzure ADを扱う機会が増えてきましたので、こういったガイドラインから新たな気付きがあると嬉しいです。