クラウドでも考えたいセキュリティと内部統制

PR

　世界110カ国以上で採用されており、日本でも任意適用が可能になっている「IFRS」（国際財務報告基準、国際会計基準）。一方で昨今のITトレンドに外せないキーワードになってきた「クラウドコンピューティング」。これらは相互に関連し、次世代の財務経理業務を設計・運用する際に深い意味を持ちます。本稿では財務経理部門でのクラウドコンピューティングの利用が現実になりつつある状況を受け、IFRS対応を前提にクラウドコンピューティングを業務システムで利用する場合のポイントを解説します。なお、以下の文中における見解は特定の組織や団体を代表するものではなく、筆者の私見です。

　第2回「クラウドをどう会計処理する？」では、クラウドコンピューティングの会計処理とユーザー、ベンダそれぞれの立場にとっての位置付けについて解説しました。今回は、情報セキュリティと内部統制の観点からクラウドコンピューティングにどのように対応していくべきかを考えてみましょう（参考：第1回「財務経理部員が15分で読めるクラウドの基本」）。

情報セキュリティに関連するクラウドコンピューティングのリスク

不正アクセスに関するリスク

　クラウドコンピューティングでは、インターネットを介して社内外を超えた広範囲のユーザーがアプリケーションソフトウェアにアクセスできる可能性があります。このため、自社システムでのソフトウェア利用（オンプレミス）に比べて、よりシビアなセキュリティレベルを確保した運用が求められます。もしそうでなければ悪意を持ったユーザーによるシステムへのアクセス（不正アクセス）を許すことになり、重大なリスクとなります。仮に不正アクセスを許した場合、決算データという企業にとっては生命線となる重要データが社外に漏えいしたり、保存していたデータが論理的または物理的に破損したりする可能性が考えられます。

　物理的なリスクにはサーバやデータの破損、データ持ち出しなどもありますが、これはクラウドベンダーの対策である程度の抑止が可能です。一方でインターネットを介した不正アクセスの場合は、ユーザーの特定が困難なことも多く、対策のハードルが高くなってしまいます。

データ保全に関するリスク

　クラウドコンピューティングでは、複数台のサーバにまたがってデータを保存したり、CPUパワーやディスク容量の余力を柔軟に割り当てたりする機能（マルチテナント）のおかげで、複数の会社のアプリケーションやデータを安定的に保存、運用することが可能になりました。

　一方で、そのような運用特性上から、「パブリッククラウド」の場合は自社データと他社データが混在する可能性があります。例えば「総勘定元帳」や「仕訳」のデータが他社のそれと混在するケースが考えられます。クラウドで提供されるアプリケーションでは提供先（ユーザー企業）ごとにデータ保存先は分離されているため、通常はそのような運用は想定されませんが、物理的なサーバ、ストレージ、データベースの配置の観点から見ると、それらは1つのサーバに保存、管理されていることがあります。ユーザー側からベンダ側のデータ保存、管理がどのようになされているかを知る手段は限定されています。

　そのため、自社のデータが適切にクラウドベンダのコンピュータ資源に保管されているかどうかがポイントになります。これは自社向けのクラウドリソースを確保して運用する「プライベートクラウド」に比べて、不特定多数向けのクラウドリソース上で運用する「パブリッククラウド」でより顕著なリスクになります。

運用管理に関連するリスク

　クラウド環境に移行した場合、運用ミスによるデータ喪失のリスクはより深刻かつ影響の大きなものとなります。例えば社内システムであれば、適切なセキュリティを講じていれば財務経理関連データの漏えいリスクを下げることが可能でしたが、クラウドコンピューティングでは運用を誤ると、インターネットを通じて誰でも社内データにアクセスできるようになってしまう危険があります。運用面でも厳格なコントロールを設定しておかなければ自社の重要なデータを公衆に晒すことになりかねません。

前回記事｜1　2　3｜次のページ

1. 1日で納得！管理会計の基礎講座
2. 税効果会計の決算実務
3. 連結会計速習講座 “会計システム系コンサ…
4. IFRSセミナー　第1回
5. 連結財務諸表の基礎
6. 財務分析から学ぶ企業の課題とヒアリング…
7. 連結業務イノベーションセミナー(東京）
8. グループ経営管理システムの再構築ポイント
9. 海外進出企業支援セミナー
10. IFRSセミナー　第2回