A.5.23 クラウドサービス利用における情報セキュリティ
| 項目 | 内容 |
|---|---|
| 改訂日 | 2025.01.15 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.5.23 |
| 分類 | 組織的管理策 |
クラウドサービスの取得、利用、管理及び終了のプロセスは、組織の情報セキュリティ要求事項に従って確立しなければならない。
クラウドサービスの利用に関連する情報セキュリティリスクを管理するため。
実施の手引き
Section titled “実施の手引き”クラウドサービスの利用に際しては、以下を考慮する必要がある。
- クラウドサービスの種類(IaaS、PaaS、SaaS)
- 責任分界点の明確化
- データの所在地と法的管轄
- セキュリティ管理策の実装状況
クラウドサービス選定基準
Section titled “クラウドサービス選定基準”| 評価項目 | 確認内容 |
|---|---|
| セキュリティ認証 | ISO 27001、SOC 2等の取得状況 |
| データ保護 | 暗号化、アクセス制御 |
| 可用性 | SLA、冗長構成 |
| コンプライアンス | 法令遵守、データ所在地 |
| 終了時対応 | データ返却・削除手順 |
| AIサービスの場合 | 入力データの学習利用に関する利用規約、オプトアウト方法の有無 |
| 管理項目 | IaaS | PaaS | SaaS |
|---|---|---|---|
| データ | 顧客 | 顧客 | 顧客 |
| アプリケーション | 顧客 | 顧客 | 提供者 |
| ミドルウェア | 顧客 | 提供者 | 提供者 |
| OS | 顧客 | 提供者 | 提供者 |
| インフラ | 提供者 | 提供者 | 提供者 |
当社における実施状況
Section titled “当社における実施状況”当社では、承認されたクラウドサービスのみを利用し、新規導入時には情報セキュリティ上の観点から確認を行っている。シャドーITは禁止しており、業務で利用するSaaSは情報セキュリティ責任者の承認を得たうえで導入している。
クラウドサービスの選定にあたっては、公開されているセキュリティ情報、第三者認証(ISO 27001、SOC 2等)、利用規約を確認したうえで採用している。個別のチェックリストは作成していないが、利用範囲を限定し、問題があれば見直す運用としている。
-
- IT基盤運用管理
-
- テレワークにおける対策
-
- SaaS導入・シャドーIT管理