クラウドサービスをいよいよ導入することになったら、社内のクラウド管理者を任命します。
クラウド管理者といっても、必ずしもITの専門家でないケースも多いと思います。
そこで、クラウド管理者については最低限以下の3点については、実施するようにします。
- 社内で契約・利用しているクラウドサービスを常にリストアップして、把握しておく
- 各クラウドサービスについてアカウントを発行しているユーザーの名簿を管理する
- 不正な利用がないか、チェックする
まず「社内で契約・利用しているクラウドサービスを常にリストアップして、把握しておく」ですが、これは会社として使用を許可していないクラウドサービスが勝手に契約されていたり、既に使用されていないクラウドサービスの契約が継続したままで放置していないかを確認するためです。
前回の記事でお話した通り、クラウドサービス導入に際しては、セキュリティ対策などの確認を行います。
ところが、このようなプロセスを踏まずにクラウドサービスを導入してしまうと自社の情報資産が流失・漏洩するリスクが発生します。
また、既に使用されていないクラウドサービスの契約を継続したままにしておけば、無駄な利用料金が発生しますし、他に利用者がいないために私的利用が起こることも考えられます。
そこで、クラウドサービスを導入・利用停止するためには、必ずクラウド管理者の承認を必要とするルールを定めておくようにします。
更にできれば年1回程度は社内のクラウドサービスの棚卸を実施して利用状況を確認するようにしましょう。
次に「各クラウドサービスについてアカウントを発行しているユーザーの名簿を管理する」ですが、情報漏洩等の事故が発生した場合に調査ができるように利用者が誰であるかを明確にしておくためです。
既に利用することがなくなったユーザーのアカウントも忘れずに削除しましょう。
退職した利用者が在職時に配布されたアカウントを退職後も利用し続けていたということが実際にありました。
3点目の「不正な利用がないか、チェックする」ですが、これはもちろん不正アクセス防御のためです。
クラウドサービスの管理者アカウントには、登録されたユーザーアカウントのログイン・ログアウト履歴、IPアドレス、操作履歴が閲覧できるものがあります。
この機能を使って、いつもと違うIPアドレスからアクセスされている、通常の営業時間以外にログインがされている、不審な操作履歴がある、等の兆候が見られた場合には、そのアカウントが乗っ取られている可能性もありますので、当該アカウントを一時的に利用停止にする、等の措置を早めに打つようにします。
以上3点については、ITの専門家でない方でもできる基本的な管理事項になりますので、ぜひ実践していただき、安全なクラウドサービス活用を心掛けていただきたいと思います。
