企業がクラウドーサービスを利用するときに留意すべきことはなんだろう?

いまどき、企業が業務をおこなうのに、コンピュータシステムをまったく使わないという企業はあまりないでしょう。企業がコンピュータシステムを維持するには、様々な負担がかかります。クラウドサービスを利用することにより、その負担の多くを解消することができます。

しかしながら、昨今は内部統制の一部としてIT統制への要求が高まっており、企業が利用するクラウドサービスも内部統制の対象となってきました。

クラウドサービスの選定にあたっても、そのクラウドサービスの提供する業務機能だけではなく、そのクラウドサービスは、企業が安全に利用できるものなのかを評価する必要性がでてきています。

本稿では クラウドサービ スの種類としてSaaS*1の利用を念頭に置いています。企業が利用するクラウドサービスとしては、Iaas*2やPaaS*3もありますが、これらのサービスは自社でシステム開発力がある企業が利用するものです。SaaSは、中小企業も使う一般的な利用形態です。

*1) SaaS(Software as a Service) クラウド上に用意されたソフトウェアをサービスとして提供するものであり、例えば業務を遂行 するためのアプリケーション(給与計算とか人事管理、販売管理、在庫管理等)がインターネット を通じて利用できるサービス形態である。

*2) IaaS(Infrastructure as a Service) クラウド上に用意された仮想のコンピュータをユーザが直接利用するクラウドのサービス形態。

*3) PaaS(Platform as a Service) クラウド上に用意された仮想のコンピュータに加えて、開発環境やデータ処理のためのミドル ウェアやユーザインターフェイスモジュール等も提供するサービス。

本稿では、中小企業の担当者が、その経営層から、クラウドサービスの安全性について問われた場合に、それなりのレベルで報告することを想定しています。私がこだわるのは、次の項目です。

  • 事業者の信頼性
  • セキュリティ対策
  • 契約条項
事業者の信頼性

企業が基幹業務をクラウドサービスに預けるには、そのクラウドサービスを提供する事業者の経営が安定している必要があります。そのためには、その事業者の経営状況を評価する必要性がでてきます。

一般的に企業の経営状況を評価する方法は、様々なものがありますので、どのように評価したら良いのか悩むところです。私の考えは、「その事業者が、最低5年、できれば10年、そのクラウドサービスを提供し続けて欲しい」と考えています。

IT業界の技術動向は、どんどん変化しています。今は最新技術でも5年経てば当たり前、10年経てばこなれた技術になります。たとえば、amazon社のAWSは、2006年に発表され、2010年代に一気に広がりました。企業の業務にしても、5年位はひょっとして同じ業務手続が使えるかもしれませんが、10年経てばその業務手続自体が無くなっていても不思議ではありません。そう考えると、クラウドサービスも「5年使えれば御の字、10年使えば儲けもの」という感覚でしょう。

そういう感覚で、クラウドサービス事業者を評価してみたいと思います。

クラウドサービス事業で5年以上の実績があること

IT企業がクラウド事業(データセンタ事業を含む)を始めて、設備が整備され、組織・体制ができ、技術・営業の人材が育成され、実績が積みあがるには、最低でも5年はかかると思います。クラウド事業に進出して2,3年ではとても心配です。

株式公開していること

株式公開している企業は、経営状況について審査を受け、定期的に情報を公開しています。非上場企業は、情報が公開されないので、クラウド事業者としても、情報不足で評価できません。

赤字経営でないこと

少なくとも、過去3年は赤字経営ではないことです。赤字経営の企業では、赤字を減らすことに一所懸命で、自社の事業を充実させる余裕は無いだろうと思います。

有利子負債が多すぎないこと

投資家や金融機関が、企業の経営分析をするときの指標は、目的に応じて様々なものがあります。私の場合は、有利子負債は必ず見ます。有利子負債は、企業経営上は避けることはできないと思いますが、多すぎるのも借金体質ということであり、問題があると思います。

目安としては、連結決算書で、

 有利子負債/当期利益 < 5

意味としては、有利子負債を当期利益で返済したら、何年かかるかということです。これが、数年かかるのは、借金体質ということだと考えています。

売上高が右肩上がり、最低でも横ばい

企業というのは、売上高が確保できていないと成長できないと思います。売上高に多少の変動はあるにしても、右肩下がりということでは先が見えません。

セキュリティ対策
過去に情報漏洩事故を起こしていないか調査する

会計システム、人事情報システムであれ、どのような基幹業務を実現するクラウドサービスであっても、必要なことは、利用者がクラウドサービスに預託したデータを第三者からのアタックから守り、破壊や情報漏洩事故をおこさないことです。

クラウドサービスの選定では、そのサービスが過去に情報漏洩などの情報セキュリティ事故を起こしていないかどうか確認します。そのような事故を起こしていないことが最も望ましいことでが、仮に起こしていた場合は、事故の内容や事故後の対応についてよく確認します。当然ですが、事故を繰り返していたり、事故後の対策がなされていないクラウドサービスは、問題外です。

利用ユーザ数を確認する

そのクラウドサービスをすでに利用しているユーザ企業の数を確認します。できれば、どのような企業が利用しているのかが分かれば参考になります。ユーザ企業の数がそれなりにあれば、そのクラウドサービスは、それなりに信頼されていると言えます。大手企業が利用していれば、その信頼感も大きくなります。

ISMS認証を取得していることを確認する

ISMS(情報セキュリティマネジメントシステム)の認証を得ているかどうか確認します。大手のクラウド事業者であれば、情報セキュリティに係わるISMS認証を積極的に取得していると思います。

ISMS認証を取得している場合は、そのクラウド事業者が情報セキュリティに積極的に対応しようとしていることがうかがえます。ISMSを取得していない場合は、情報セキュリティに関心が無いと分かります。注意しなければいけないのは、ISMSを取得しているだけでは、情報セキュリティ対策が十分かどうかは分かりません。ISMS取得で分かるのは、情報セキュリティに係るPDCAサイクルを回していることだけです。情報セキュリティが強固であるかどうかは別のことです。

ISMS認証でもうひとつ注意するべきことがあります。ISMS認証は、その対象を定めて取得します。つまり、クラウドサービス事業以外の事業で取得したISMS認証では意味がありません。

実際にあったはなしですが、取得しているISMS認証の範囲がパンフレットにも、ホームページにも記載されておらず、営業マンに質問しても「会社として取得している」としか答えないクラウド事業者がありました。いろいろ調べていくと、どうやらクラウドサービスの導入・運用・支援業務が認証範囲であり、クラウドサービス自体は、認証範囲に含んでいないようでした。営業マンから明確な回答が得られない以上、そう結論せざる得ませんでした。

ISMS認証の取得に疑義がある場合は、認証機関側がISMS認証取得組織一覧にて、企業名と登録範囲を公開していますので参考になります。

情報セキュリティ対策を確認する

クラウドサービスが実装している情報セキュリティ対策を確認します。細かい対策内容は、公開されませんので、基本的なあたりまえのセキュリティ対策が行われていることを確認します。たとえば、次のようなものです。

  • ファイアーウオール
  • 通信の暗号化
  • 接続IPアドレスの制限
  • アクセス管理
  • ウイルスチェック
  • IDS/IPS
  • 定期バックアップ 等々

これらのセキュリティ対策は、あって当たり前のもので、クラウドサービスのパンフレットやサービス仕様書に記載されています。ところが、どこにも記載されていないクラウドサービスもあります。そのようなクラウドサービスは、セキュリティに関心が無いかと心配です。

契約条件

契約条項や、契約書に付帯するサービス仕様書で確認しておきたいことは、たくさんありますが、私が特にこだわるのは次のことです。

サービスの利用が終了したときのデータの取り扱い

契約が終了したり、クラウド事業者の提供するクラウドサービスが終了するなどの場合に、その時点でクラウドサービスに預託してあったデータの取り扱いについて確認します。

そのような場合は、クラウド事業者の責任で削除し、情報漏洩事故が無いようにしてもらいたいのですが、契約書やサービス仕様書に何も記載されていない場合がありますので、注意が必要です。

預託したデータの非開示契約

利用企業がクラウドサービスに預託したデータは、情報漏洩したり第三者に開示することが無いように守ってもらいたいものです。しかし、多くのクラウドサービスでは、契約書に「預託データには責任を持ちません」と記述したり、そのことには何も触れられていない場合があります。

利用企業の立場から言えば、クラウド事業者は、預託データの内容には関与しなくてよいけど、預託データが外部に漏洩することが無いように守って欲しいものです。

私が関与したクラウドサービス導入では、クラウド事業者と預託データに関する非開示契約を結ぶように働きかけます。形態は、覚書でも良いし、契約書に添付するサービス仕様書に、非開示条項を追加しても良いと思います。

クラウド事業者には、専門業者としての善管注意義務がありますから、非開示条項を拒否する理由は無いはずですが、たまに全面的に拒否してくるクラウド事業者がいます。そういう場合は、「預託データを漏洩してしまうかもしれないと思いながらクラウドサービスを販売しているということですね」と嫌味を言ってからお引き取り願います。