なんとなくビジネスチャットを使った方が効率化が進みそうと感じているものの、「クラウドサービスはビジネスで使っても安全なのかどうかよくわからない」という人も多いのではないでしょうか。
今回は、ITビジネスを専門とし、ChatWorkの顧問弁護士でもある弁護士法人ファースト&タンデムスプリント法律事務所 代表弁護士 藤井総氏が、クラウドサービスの情報セキュリティに関して解説します。
オンプレミスソフトがクラウドサービスよりも安全というわけではない
ーー藤井さんのお仕事について教えてください。
藤井弁護士(以下敬称略):「世界を便利にしてくれるITサービスをサポートする」ことを使命(ミッション)に掲げて、ITサービスを運営する企業に「法律顧問サービス」を提供しています。
法律顧問サービスの導入企業数は約70社(2018年現在)おり、ITサービスを提供する企業やIT関連部門、IT関連組織が法律顧問サービスの主な導入企業になり、中堅・上場企業だけでなく、ベンチャー企業もサポートしています。
ーーITビジネスを専門にしているのですね。オンプレミスソフトとクラウドサービスの情報セキュリティに関しては、どうお考えでしょうか。
藤井:自分の手元(パソコンなど)にデータが存在するオンプレミスソフト1のほうがクラウドサービス2よりも安全で安心だ、と考える人も少なくないようですが、その考えは必ずしも正しくはありません。
近年はパソコンなどがコンピューターウィルスに感染してデータが漏洩する事件が多発していますし、端末を紛失したり故障する(それによってデータを失う)リスクもあります。
一方でクラウドサービスの場合、基本的にはデータはクラウドサービス事業者の管理するサーバ内に存在します。もちろん、コンピューターウィルスに感染したり故障するリスクもあるでしょうが、オンプレミスソフトと比べてそのリスクが有意に高いとはいえないでしょう。
1ユーザーのパソコンなどにインストールして利用するソフト
2ユーザーのパソコンなどPC等からインターネットを通じて利用するサービス
クラウドサービスの利用は情報セキュリティの観点からも妥当
ーーそうなるとクラウドサービスを利用することは、情報セキュリティの観点から妥当なのでしょうか。
藤井:そうですね、クラウドサービスを利用することは、「情報セキュリティの三要素」の観点から妥当であることが多いと考えられています。
情報セキュリティの三要素は、「機密性」(アクセスを認可された者だけが情報にアクセスできる特性)、「完全性」(情報が破壊、改ざん又は消去されていない特性)、「可用性」(必要時に中断することなく情報にアクセスできる特性)にある、といわれています。
ーー情報セキュリティの三要素の観点から考えるべきなのですね。詳しく教えてください。
藤井:まずは機密性ですが、大規模なクラウドサービスを運営する大手事業者は、それまでの経験や実績から、高度な情報システムや機密性に関するノウハウを有する場合が多いでしょう。一企業が大手システムインテグレーターの支援を受けずに、自らシステムを構築する方が、機密性のリスクは高いと思われます。
次に完全性ですが、サーバ上のデータは事故により容易に消失します。オフィスで火災や地震が起きて、オフィス内のサーバが焼失や破損するケースを想定してください。
一方でクラウドサービスでは、チャットワークが利用しているAWS(Amazon.comにより提供されているクラウドコンピューティングサービス)のような世界最高レベルの堅牢なデータ保護体制が構築されたサーバが利用されていることが多く、完全性が確保されている場合が多いでしょう。
そして可用性ですが、一企業が緊急時を想定して必要な人員を常時確保しておくことは人件費の観点から困難です。一方で大規模なクラウドサービスを運営する大手事業者は、緊急時に対応することが可能な高度なスキルを有する人員を確保している場合が多く、可用性が確保されている場合が多いでしょう。
ーーなるほど。情報セキュリティの三要素以外に考慮すべきことはありますか。
藤井:情報セキュリティの三要素の観点から、クラウドサービスを利用することの妥当性を検討してきましたが、情報セキュリティを検討する際は、コストとのバランスも考慮すべきです。
もちろん、情報セキュリティのレベルは高いほうが良いですが、レベルを上げるためにはコストがかかり、ゼロリスクを追い求めればコストは際限なく膨らんでしまいます。
BYOD・シャドーIT対策として導入すべきビジネスチャット
ーークラウドサービスの利用に関しては理解できたのですが、情報セキュリティの観点でいうとBYODとシャドーITの対策も必要でしょうか。
藤井:ご存知のとおり、BYODとは、「Bring Your Own Device」の略語で、従業員の私用端末(スマートフォンなど)を業務上で利用することをいいます。
このBYODを導入することは、従業員が利用する端末のイニシャルコスト・ランニングコストの削減、業務効率の向上、災害等の非常時での事業継続性など、会社にとってさまざまなメリットがあります。
そのため、導入を進める会社が増えていますが、その一方で、セキュリティをコントロールしにくい従業員の私用端末から、社内データへのアクセスが可能になるため、端末の紛失、盗難、さらには従業員による不正アクセスによって、情報漏洩の危険があります。
また、BYODにともなって従業員の私用アプリ(SNSやメッセンジャー)が業務で利用されることになりがちですが、誤送信やアカウントの乗っ取りによる情報漏えいの危険もあります。
ーービジネスでのやり取りが情報漏洩すると、企業の信用にも関わるので怖いですね。
藤井:このようなリスクから、BYODの導入に二の足を踏んでいる会社が多いのも事実です。
ですが、各種調査によると、近年、従業員が非公式に(会社に許可なく)私用端末や私用アプリを業務で利用する例が急増しているようです。
つまり、会社の意向に関係なく、今どきの従業員は、事実上BYODを実行しているわけです。このような、会社が把握していない従業員によるIT活用を、シャドーITといいます。
これは、会社のコントロールがまったく利かないため、非常に危険な状況です。このような状況からすれば、会社としては、いたずらにBYODのリスクを恐れるのではなく、私用端末のセキュリティ対策や、私用アプリではなくセキュリティの観点から妥当なビジネスチャットを業務で利用させるなどして、BYODを正式に導入した方が、むしろ安全とさえ言えるでしょう。
仕事で使うならビジネスチャットを導入すべき
ーー詳しい解説ありがとうございます。ビジネス用途で使うのならば、クラウド型のサービスを使うことにメリットがありそうですね。
藤井:当事務所も顧問企業とのやり取りには、チャットワークを利用しています。
クラウドサービスの利用に対する漠然とした不安を抱えている方もいらっしゃいますが、確率がわからない事項が存在するという理由からクラウドサービスの利用を見送る、すなわち利用により得られるメリットを放棄して機会損失を発生させることは、合理的なビジネス判断とはいえないでしょう。
最近では大手金融企業でチャットワークを導入した事例もあるそうですし、情報セキュリティの観点だけでなく、生産性の向上など多方面から見てもクラウドツールを使うことはメリットが多いのではと思います。
参考:チャットワークのセキュリティ体制と料金プラン
安心してビジネス上のコミュニケーションができるよう、チャットワークでは情報管理体制の構築やセキュリティ監査など、さまざまな角度から細心の注意を払ってサービスを運営しています。
※チャットワークのセキュリティ体制の詳細はこちら
また、チャットワークでは組織向けに、「ビジネス」プランと「エンタープライズ」プランの2つのプランを提供しています。
※エンタープライズプランの詳細はこちら
セキュリティリスクを抑えながら業務効率化
セキュリティ対策と業務効率化を同時におこなった事例資料です。これから企業が考えないとならない、シャドーIT対策についてもご紹介しています。
<弁護士プロフィール>
弁護士法人ファースト&タンデムスプリント法律事務所 代表弁護士
藤井 総
「世界を便利にしてくれるITサービスをサポートする」ことを使命(ミッション)に掲げて、ITサービスを運営する企業に「法律顧問サービス」を提供している。
ITサービスを提供する企業やIT関連部門、IT関連組織が法律顧問サービスの主な導入企業になり、その業種はASPサービス事業者、ISP事業者、EDI事業、ハードウェアメーカー、コンサルティングファーム、海外政府系機関等、多様。
取扱業務は、コーポレート、契約書・Webサービスの利用規約(作成・審査・交渉サポート)、労働問題、債権回収、知的財産、経済特別法、訴訟など、企業法務全般に対応している。
運営サイト「IT弁護士.com」(http://itbengoshi.com)
