「このクラウド使って大丈夫？」を判断する第三者認証を解説

聞いたことないクラウドサービスを使ってみないか相談があったんだけど、セキュリティが心配だな。

クラウドサービスだと、暗号化とか、サーバー管理とかお任せになっちゃうから、不安だよね。

会社でクラウドサービス使おうと思うと、細かいことまで聞かれるから、しっかりちゃんとした管理がされているか調べたいな。でも時間がない・・・

直接、クラウドサービスを運用している会社に確認をとっている暇がない時は「第三者認証」を見てみたらどうかな

第三者認証とは？

第三者認証とは、

「安全対策がちゃんとできているか」を、外部の専門機関がチェックして証明する仕組み

です。

レストランの衛生検査に例える

利用者は厨房の中を見られません。

でも、

• 保健所の検査を通っている
• 衛生基準を満たしている

と分かれば安心しやすくなります。

クラウドサービスも同じで、

「ちゃんと安全管理していますよ」

を第三者が確認しているのです。

なぜ第三者が必要？

自称だけでは信用できない

もしサービス会社が

「うちは安全です！」

と言っても、本当かどうか利用者には分かりません。

そこで外部機関がチェックすることで、

• 客観性
• 信頼性

が生まれます。

自己採点と先生の採点はどちらが信用できる？

• 自己採点 → 甘くなるかもしれない
• 先生の採点 → 客観的

第三者認証は「先生の採点」に近いイメージ。

どんなことをチェックしているか

① パスワード管理

• 強いパスワードを使っているか
• 二要素認証があるか

② アクセス制御

• 関係者以外がデータを見られないか

③ データ保護

• 通信が暗号化されているか
• バックアップがあるか

④ 障害対策

• サーバー障害時に復旧できるか
• 災害対策があるか

⑤ 社員教育

• 従業員にセキュリティ教育をしているか

よく見る代表的な認証

なんだかいっぱいあるんだね。。。

ざっくりいうと以下の感じで大丈夫だよ。

普通の会社を見るなら

→ ISMS

クラウド/SaaSを見るなら

→ SOC 2

個人情報を扱うなら

→ プライバシーマーク

政府レベルなら

→ FedRAMP / ISMAP

クラウド専門性まで見たいなら

→ CSA STAR

ひとまずS0C2を取得しているか確認してみようかな。

企業のHPでレポートを取得できるケースもあるから確認してみてね。英語だけど、具体的な内容を確認できるよ。

あと、認証があっても、絶対じゃないからね。

企業だってミスが100パーセント０じゃないし、ユーザー側の設定がしっかりしていないと危険なことは十分あるんだ。

認証がある＝絶対安全ではない

認証を取得していても、

• 設定ミス
• 社員のミス
• サイバー攻撃

は起こる可能性があります。

車検が通っていても事故は起こる

車検があると安全性は高まります。

でも、

• 無茶な運転
• 不注意
• 事故

は完全には防げません。

第三者認証も同じです。

利用者側も気を付けること

ユーザー自身の対策

• パスワードを使い回さない
• 二要素認証を設定する
• 怪しいメールを開かない
• 不要な共有設定をしない

まとめ

第三者認証は、

「このクラウドサービスは最低限の安全管理をしています」

を確認するための重要な目安です。

ただし、

• 認証があるから100%安全
• 認証がないから即危険

というわけではありません。

大切なのは、

• 認証の有無
• 運営会社の信頼性
• 自分自身の使い方

を総合的に見ることです。

クマノくらげ

X

難しいIT用語やビジネス用語を、できるだけ身近な例えで解説するブログです。 「専門用語を見ると眠くなる人」でも読めるように、画像や会話形式を多めにしています。 AWS12冠達成済み。