catch-img

経済産業省の「クラウドサービスレベルのチェックリスト」とは?


目次[非表示]

  1. 1.経済産業省「クラウドサービスレベルのチェックリスト」とは
  2. 2.SLA(Service Level Agreement)とは
  3. 3.クラウドサービスレベルのチェックリストの項目
    1. 3.1.可用性
    2. 3.2.信頼性
    3. 3.3.性能
    4. 3.4.拡張性
    5. 3.5.サポート
    6. 3.6.データ管理
    7. 3.7.セキュリティ
  4. 4.クラウドサービスレベルのチェックリストを公開しているクラウドサービス

経済産業省「クラウドサービスレベルのチェックリスト」とは

クラウドサービスレベルのチェックリストは、2010年8月に経済産業省が公開したクラウドサービスの契約における事前の確認事項を示したチェックリストです。チェックリストの前文にも「本チェックリストは、サービスレベルの事前確認が特に重要と思われる企業の経営者および情報システム担当者が企業システム向けのクラウドコンピューティングを利用するにあたって適切な取引関係を確保し、より効果的に利用することを目的として作成された。」とされています。

このチェックリストは公開が2010年と古いため、現在は経済産業省のウェブサイトでは公開されていませんが、国立国会図書館のインターネット資料収集保存事業ウェブサイトで閲覧できます。

クラウドサービスレベルのチェックリスト | 経済産業省

ISO/IEC27017:2015等のクラウドサービスのセキュリティに関する国際標準の策定よりも前に公開されたチェックリストですが、クラウドサービス事業者がこのチェックリストを利用してウェブサイト上に掲載していることも多く、いまだに参照されることも多いものとなっています。また、項目については2008年に経済産業省が公開した「SaaS向けSLAガイドライン」を参照し、このガイドライン末尾の別表「SaaS向けSLAにおけるサービスレベル項目のモデルケース」の項目にいくつかの項目を追加して作成されています。

SLA(Service Level Agreement)とは

SLA(Service Level Agreement)とは、クラウドサービスを利用する際に、クラウドサービス事業者とクラウドサービス利用者の間で取り交わされる、サービスの品質水準に関する合意のことを指します。合意された内容は契約として締結されることも多く、SLAを達成できない場合は保証や罰則がある場合もあります。サービス利用者として適正なサービスを受けるためにも、SLAの内容を理解しておくことが重要です。

経産省の「SaaS向けSLAガイドライン」では、SLAのメリットとして以下が挙げられています。適切なSLAには、利用者、提供者双方にメリットがあります。

利用者におけるメリット(例)

  • サービスレベルに対する保証の確保
  • サービスレベルが達成されない場合の補償対応の明確化
  • 継続的管理によるサービスレベルの維持・向上
  • SaaS 提供者選定における判断基準の明確化

SaaS 提供者におけるメリット(例)

  • サービスに対する信頼性の確保
  • サービス提供における責任範囲の明確化
  • 利用者との関係維持・強化
  • 優れたサービスレベルの提示による競争優位性の確保

クラウドサービスレベルのチェックリストの項目

「クラウドサービスレベルのチェックリスト」では、以下の7カテゴリについて、クラウドサービス事業者に対して確認すべき項目が示されています。

可用性

サービスレベル項目: サービス時間、計画停止予定通知、サービス提供終了時の事前通知、突然のサービス提供停止に対する対処、サービス稼働率、ディザスタリカバリ、重大障害時の代替手段、代替措置で提供するデータ形式、アップグレード方針

可用性の項目では、クラウドサービスを利用できる時間帯や、サービスが利用できない場合の通知・代替手段などが確認されます。SaaSが提供される場合には24時間365日で提供されることがほとんどですが、サービスの計画停止時間が定められていることもあるので注意が必要です。

サービスの提供終了時のデータ等の扱いについては利用規約に定められていることもあるためあわせて確認すると良いでしょう。なお、突然のサービス提供停止に対する対処には、プログラムの第三者預託(ソフトウェア・エスクロウ)について言及されていますが、最近では主にオープンソースソフトウェア(OSS)を中心にプログラムが構成されていることもあり、日本ではあまり普及していないためそれほど気にする必要はないかもしれません。

信頼性

サービスレベル項目: 平均復旧時間(MTTR)、目標復旧時間(RTO)、障害発生件数、システム監視基準、障害通知プロセス、障害通知時間、障害監視間隔、サービス提供状況の報告方法/間隔、ログの取得

信頼性の項目では、障害が発生した場合の復旧時間や、障害が発生した場合の通知方法などが確認されます。事業者が稼働状況や障害を監視できているか、また障害の発生を確認できるウェブサイトや通知方法が確立されているかを確認すると良いでしょう。一方で、平均復旧時間(MTTR)や目標復旧時間(RTO)については、事業者にとってSLAとして定めることが難しい項目でもあり、非公開の場合も多いと思います。非公開であっても、過去の障害対応状況が公開されていれば参考にできるでしょう。

また、ログの取得については、セキュリティインシデントの際のフォレンジックにも役立つ情報となるため取得の有無は確認しておけると良いですが、クラウドサービス利用者に提供していない場合も多いため、インシデント時の対応と合わせて確認しておくと良いでしょう。

性能

サービスレベル項目: 応答時間、遅延、バッチ処理時間

性能についてはサービスの応答時間や処理時間について確認されます。ただし、性能要件が厳しいサービスでない限りはクラウドサービス事業者も公開していないことが多いようです。契約にあたってトライアル環境などが提供される場合には、実際に利用してみて性能が満足できるかを確認すると良いでしょう。

拡張性

サービスレベル項目: カスタマイズ性、外部接続性、同時接続利用者数、提供リソースの上限

拡張性についてはサービスのカスタマイズ性やリソースの上限について確認されます。SaaS として提供されるサービスは、利用者が機能をカスタマイズできることは多くないですが、利用するプランによって一部の機能が開放されたり、提供されるリソース(例えば招待できるユーザー数や利用できるストレージ容量など)が異なることがあるため、利用プランや契約内容とともに確認しておくと良いでしょう。

外部接続性については、一部のSaaSでAPI経由でそのサービスの機能を利用できることがあります。APIの提供がある場合には、APIの仕様や利用方法、接続制限(API Limit)等について確認しておくと良いでしょう。

サポート

サービスレベル項目: サービス提供時間帯(障害対応)、サービス提供時間帯(一般問合せ)

サポートについてはサポートサービスの提供時間帯について確認されます。電話、メール、チャットなど、問い合わせの手段もサービスによって多様なため、手段も合わせて確認しておくと良いでしょう。

データ管理

サービスレベル項目: バックアップの方法、バックアップデータを取得するタイミング(RPO)、バックアップデータの保存期間、データ消去の要件、バックアップ世代数、データ保護のための暗号化要件、マルチテナントストレージにおけるキー管理要件、データ漏えい・破壊時の補償/保険、解約時のデータポータビリティ、預託データの整合性検証作業、入力データ形式の制限機能

データ管理の項目では、サービスのバックアップや削除、暗号化の要件について確認されます。バックアップについては、万が一のためにデータのバックアップが取られているか、バックアップからどの時点までのリストアが可能かを把握しておけると良いでしょう。データの消去については、特にサービスの利用終了時にデータが削除されるか、また削除される前にデータをエクスポートできるのかどうかを確認しておけると安心です。データの暗号化については、データ伝送経路やデータストレージの暗号化の確認に加え、特に機微な情報(マイナンバー等)の暗号化方針について確認しておけると良いでしょう。

預託データの整合性検証や入力データ形式の制限については、アプリケーションの実装によるため利用者視点では詳細の確認が難しい項目でもあります。事業者視点では、整合性検証であればデータベースのトランザクション制御や外部キー制約等の機能を利用できているか、入力データ形式の制限であればサーバーサイドでの入力値の検証を行っているか、等が確認できていると良いでしょう。

セキュリティ

サービスレベル項目: 公的認証取得の要件、アプリケーションに関する第三者評価、情報取扱い環境、通信の暗号化レベル、会計監査報告書における情報セキュリティ関連事項の確認、マルチテナント下でのセキュリティ対策、情報取扱者の制限、セキュリティインシデント発生時のトレーサビリティ、ウイルススキャン、二次記憶媒体の安全性対策、データの外部保存方針

セキュリティの項目では、サービスのセキュリティ対策について確認されます。セキュリティ対策については、まずは公的認証の取得やセキュリティに関する監査、外部の脆弱性診断の実施有無を確認することで、一定の基準に照らして第三者視点でセキュリティ対策が行われているかどうかを確認できます。

セキュリティの項目については、例えば組織的なセキュリティの推進体制、オフィスのセキュリティ対策状況、アクセス制御の詳細など、他にも確認すべきことがあるでしょう。この項目だけでは網羅的とは言えないため、個別のセキュリティ対策については別途確認することも検討すると良いでしょう。

クラウドサービスレベルのチェックリストを公開しているクラウドサービス

クラウドサービス事業者の中には、クラウドサービスレベルのチェックリストをウェブ上で公開しているところがあります。以下にいくつかの例を示します。

このように、クラウドサービス事業者がサービス品質やセキュリティに関する情報を積極的に公開することで、クラウドサービス利用者との信頼性の確保に繋がります。クラウドサービス利用者にとっても、サービスを選定する際の有用な情報となることでしょう。

早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。ドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

セキュリティ評価プラットフォーム「Assured」は、クラウドサービスの安全性を可視化するサービスです。

国内外のガイドラインやフレームワークに基づき、クラウドサービス事業者からセキュリティ情報を収集。専門家がリスクを評価し、データベース化しています。評価情報は開示申請だけで最短、即日で確認可能。海外のクラウドサービスも評価でき、未掲載のサービスは代行調査も承ります。

セキュリティ評価情報は、最新の評価に更新次第、通知されるため、定期監査にもうってつけ。セキュリティ評価にお悩みの方はぜひ、資料をダウンロードし詳細をご確認ください。

Assured

クラウドサービスの安全性を可視化する
セキュリティ評価プラットフォーム

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

関連記事

Seminar

開催予定のセキュリティセミナー

Ranking

人気記事ランキング

Tag

タグ

Assuredとは?

Assured(アシュアード)は、クラウドサービスの安全性を可視化する、セキュリティ評価プラットフォームです。最短即日でご覧いただけるセキュリティ評価情報や、クラウドサービスが取得している認証などを一元化したデータベースにより、貴社のDXを加速します。

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

Assured

クラウドサービスの安全性を可視化するセキュリティ評価プラットフォーム