ゆーたんのつぶやき

株式会社ノークリサーチにてIT関連のシニアアナリストとして活動しています。

ASP/SaaSセキュリティガイドライン

IT



総務省/ASPICから
ASPSaaS における情報セキュリティ対策ガイドライン
http://www.soumu.go.jp/s-news/2008/pdf/080130_3_bt3.pdf
が出されました。


活用方法の流れをまとめると下記のようになります。


1.機密性(高/低)、完全性(高のみ)、可用性(高/中/低)
 の3つの観点から分類された6つのパターンのどれに
 自社サービスが該当するかを確認する


2.組織/運用編と物理的/技術的対策編それぞれに
 ついて以下の項目があるので、自社サービスが
 該当するパターンに当てはめて実施基準を策定
 していく


 2.1 対策レベル
   基本:優先的に実施すべき対策
   推奨:実施することが望ましい対策


 2.2 ベストプラクティス
   実施の具体例や注意点をまとめたもの


 2.3 評価項目(物理的/技術的対策のみ)
   個々の対策を実施するに際しての具体的な指標


 2.4 対策参照値(物理的/技術的対策のみ)
   上記評価項目の具体的な値で、パターンごとに
   基準値が設定されている


組織/運用編は主に社内の運用ルールや提携各社との
契約といったビジネス面での留意事項について記載
したものです。
一方の物理的/技術的対策偏は評価項目として稼働率
脆弱性対策、データ/通信の暗号化などといったSLA
に記載されることになる技術的な保証レベルについて
言及しています。各評価項目にはパターンに応じて
設定された対策参照値があり、この値に準拠したSLA
を策定することがガイドラインに合致したサービスを
提供しているということになるわけです。


例えば、ERPSaaSで提供しているとします。ERP
ガイドラインではパターン1(機密性/完全性/可用性
の全てが高)に分類されます。物理的/技術的対策編
のログ保存期間については


「2.1.3」『利用者の利用状況、例外処理及び
情報セキュリティ事象の記録(ログ等)を取得し、
記録(ログ等)の保存期間を明示すること。』


という対策項目として言及されています。
この中の「利用者の利用状況の記録の保存期間」
という評価項目において、パターン1の分類では
保存期間の対策参照値は3ヶ月とされています。


ガイドラインにおけるログ保存期間は3ヶ月」
という記事を見かけた方も多いかと思いますが
実際には上記のように参照値が決まります。
対策参照値はパターンによって異なり、上記の
利用状況ログの保存期間であれば、パターンに
応じて1週間から3ヶ月まで幅があります。


以下はガイドラインに関して個人的に思った点です。


1. 該当パターンの選択
自社のサービスが6つのパターンのいずれに属するか?
という判断がなかなか難しそうです。ガイドライン
記載されている項目を当てはめようとすると、複数の
パターンに跨ってしまうことも少なくありません。
より厳しいパターンに一律に揃えるか、複数メニュー
からなる複合サービスの場合は個々を独立したものと
して考えるか、など実際の現場への適用方法について
具体的な実施例を豊富に揃える必要がありそうです。


2. データセンターのサービスレベルに関連する事柄
組織/運用編では以下のような対策項目があります。


「2.2.1」『外部組織が関わる業務プロセスにおける、
情報資産に対するリスクを識別し、適切な対策を実施
すること』


ここでの外部組織とは主にデータセンターを指しています。
ASP/SaaS事業者自らがデータセンターまで保有していると
いうケースは稀であり、社外の事業者に委託するケースが
大半でしょう。ところが、データセンター側のサービスに
関するリスク識別のための標準的な方法は残念ながらまだ
ありません。課金/決済サービスや与信サービスについても
同様です。ですので、本ガイドラインが適切に運用される
ようになるためには、SaaS/ASP事業者だけでなく、上記に
挙げた関連サービスに関するガイドラインも一緒に整備を
していく必要があると思われます。


3. SaaS間連携に関する事柄
同じく組織/運用編の対策項目に以下の3つがあります。
いずれもASP/SaaS事業者間の連携に関連するものです。


「3.1.1」『連携ASPSaaS事業者が提供するASPSaaS
サービスについて、事業者間で合意された情報セキュリティ
対策及びサービスレベルが、連携ASPSaaS事業者によって
確実に実施されることを担保すること。』


「3.1.2」『連携ASPSaaS事業者が提供するASPSaaS
サービスの運用に関する報告及び記録を常に確認し、
レビューすること。また、定期的に監査を実施すること。』


「8.1.1」『ASPSaaSサービスの提供に支障が生じた場合
には、その原因が連携ASPSaaS事業者に起因するもので
あったとしても、利用者と直接契約を結ぶASPSaaS事業者
が、その責任において一元的にユーザサポートを実施する
こと。』


マッシュアップに代表されるように異なるサービス間で
柔軟な連携を行えることが今後のオンラインサービスに
とってはとても重要なポイントです。Webの表示層で簡易
な連携を素早く構築して提供することはユーザーの利便性
向上に大きく寄与します。ですが、一方でトラブルが発生
した場合の原因特定が困難になったり、ユーザーに対する
責任の所在が曖昧になったりといったデメリットもあり、
これらの対策項目はそうしたことを防ぐために大変重要な
位置づけにあると捉えています。
かといって、ちょっとした表示上の連携で本来のサービス
運用に大きな支障がないものまでこの対策項目を適用する
のも大変です。実際に本ガイドラインを運用する際には
「連携」について、サービス自体と同様に数種のパターン
を設定し、サービスへの影響度を踏まえた上で担保すべき
対策項目をより詳細に定義することが望ましいだろうと
考えています。


いずれにしてもASP/SaaSが普及していくためにはこうした
ガイドラインの整備とその適切な実施が重要であることは
言うまでもありません。具体的な実施例とそれをフィード
バックしたガイドライン改訂というプロセスを経ることで
利用者側にも運用者側にも意義あるガイドラインになれば
と思います。