パーパスとエムケイシステムのサーバーに不正な攻撃、AWSの大規模障害などクラウドサービスが相次いで停止。クラウド利用者は事業への影響をどう危機管理すべきか。

こんにちは。弁護士の浅見隆行です。

クラウドサービスでの障害発生が相次いでいます。そこで、クラウドサービスの選び方と利用について事業継続リスクについて、利用者の危機管理の観点から整理します。

なお、クラウドサービスを提供する側の危機管理については別に書きました。

クラウドサービスに相次いで発生する障害

2023年6月に入ってからクラウドサービスでの障害が立て続けに発生しています。

人事労務に関するクラウドサービスのランサムウェア被害

2023年6月5日には、人事労務に関するクラウドサービスを提供しているエムケイシステムのサーバーがランサムウエアに感染しダウンしました。6月15日時点でも障害が継続しています。

LPガスに関するクラウドサービスのマルウェア被害

2023年6月8日には、全国のLPガス1100社にクラウドサービスを提供しているパーパスのサーバーが、マルウェアに感染しサービスを提供できなくなりました。6月15日時点でも復旧率が43%と完全には復旧できていません(6月18日にサービス再開)。

スマートホーム家電にも障害

2023年6月14日には、アマゾンが提供しているクラウドサービスのAWSで一時的に障害が発生しました。これにより、掃除機のルンバなどスマートホーム家電製品が使えなくなる事態に至りました。

クラウドサービスと事業継続リスク

今や、SaaSに代表されるクラウドサービスの利用は会社の業務の効率化には不可欠です。アプリケーションの開発などをしている会社ならAWSやAzure、GCPなどのPaaSやIaaSなどを利用しているでしょう。

また、生成系AIの浸透により、生成系AIを利用するためにクラウドサービスを利用することも予測できます。

うちの事務所でもメール、カレンダーは元々クラウドで管理していましたが、以前、NASに保存していたWordファイルなどが障害ですべて消えたことをきっかけにデータファイルも今ではクラウドで管理しています。

過去に報じられた不正・不祥事の記事や各社のリリースなどもクラウドで保存しています。

しかし、クラウドサービスの依存度が高くなりすぎて、クラウドサービスが停止すると業務も停止してしまうのでは、事業継続リスクが高すぎます。

クラウドサービスを選ぶ際には、当然ながら、業務の効率化への貢献度、利用価格、データ容量などは検討されるでしょう。その際、事業継続リスクの観点も忘れずにクラウドサービスを選んで欲しいのです。

法的には、事業継続の安定性に対する取締役の経営判断であり善管注意義務の問題や、食執行の効率性確保という内部統制整備の問題として整理することができます。

事業継続リスクの観点からのクラウドサービスの選び方

では、事業継続リスクの観点からは、どのような点に注意したら良いでしょうか。

サービスを提供する会社の安定性、継続性

1点目は、サービスを提供する会社の安定性、継続性です。要するに、与信判断です。

AWSを提供しているアマゾン、Azureを提供しているマイクロソフト、GCPを提供しているGoogle(アルファベット)は、さすがに会社が近い将来に潰れることはないと思います(たぶん)。

しかし、クラウドサービスを提供している会社の安定性、継続性は、

  • 会社の知名度

だけで判断するのではなく、

  • 公表されている財務諸表
  • 帝国データバンクや東京商工リサーチで財務データを入手する

などしてキチンと確認すべきでしょう。

仮に財務状態がそこまで良くなかったとしても、

  • 顧客・利用者が増えている
  • サービスの評判が良い

なら、事業の将来性、成長性なども期待できるので利用してもリスクは低いと思います。

与信判断をするといっても銀行融資とは判断基準は異なります。

クラウドサービスの継続性

2点目は、サービスの継続性です。

クラウドの場合、サービスを提供している会社そのものが倒産してしまうほか、会社が安定していてもクラウドのサービスを中止してしまうことも考えられます。

例えば、2022年6月に、日本薬剤師会が提供する電子版お薬手帳「eお薬手帳」は、開発・運営を担当するNTTドコモからサービスの終了を告げられたことが報じられました。

アマゾンも2023年12月31日をもって、個人向けオンラインストレージサービスのAmazon Driveのサービス提供を中止し、Amazon Photosに一本化することを発表しています。

複数のSaaS型クラウドサービスを提供している会社の場合、提供しているSaaSごとの収支のバランスでサービスの継続・提供中止を判断します。一般的な事業会社よりロジカルでドライな経営判断をする傾向が強いです。

サービスごとの収支については公表されていない限り調べようがないので、どの会社のクラウドサービスを選択するかは「賭け」になる側面は否定できません。

ただ、対象とする業種や分野を絞り込んでサービスを提供しているなど一点特化型の会社のほうがサービスの継続性は見込めると思います。

クラウドサービスの稼動の安定性

3点目は、クラウドサービスの稼動の安定性です。

障害発生時の対応力といってもよいでしょう。

クラウドサービスを提供している会社のうち、障害を過去に発生させた経験がある会社は多くはないと思います。

過去に大規模障害を発生させた経験のある会社なら、障害への過去の対応の様子などをその会社の公式サイトやニュースなどで確認し、誠実に対応してくれるかどうかを判断できます。

過去に障害を発生させたことがない会社なら、障害への対応力の有無や程度は、クラウドサービスを提供する会社のサービス仕様や、利用規約・契約に定めている内容から判断するしかありません。

具体的には

  • データセンターが複数箇所に分散しているか
  • バックアップ電源の有無
  • 災害復旧計画の有無
  • データのバックアップポリシーや定期的なバックアップの実施
  • 障害発生時の復旧時間の約束
  • 24時間体制のサポートの有無
  • 適切なコミュニケーションチャネルを提供しているか
  • 障害発生や不正アクセス・攻撃に対する監視ツールの有無

などを確認する必要があります。

クラウドサービスのデータ移行の可否

4点目は、クラウドサービスのデータ移行の可否です。

クラウドサービスを提供している会社が倒産してしまう、あるいはサービスの提供を中止する場合、他のサービスへの乗り換えは不可避です。

また、クラウドサービスを利用しているうちに機能が足りない、処理件数・能力が足りない、UIが使いにくい、新しい機能が追加されないなど、他のサービスに乗り換えたい場合も出てくると思います。

これらの場合に提供している会社が代替手段を提案してくれる場合やデータのエクスポートなど乗り換えに対応している場合には、事業継続リスクは低いかもしれません。しかし、そうではない場合にはデータが全部消えてしまうことを意味します。

クラウドサービスを会社の業務として利用する場合には、乗り換えの可否も選択の判断要素にした方がよいです。

クラウドサービスの情報セキュリティ

最後は、クラウドサービスの情報セキュリティです。一番大事な要素かもしれません。

2020年12月頃に、営業管理のためのクラウドサービスであるSalesforceの「設定不備」により楽天、PayPayが顧客情報や加盟店情報に不正アクセスされる事例が相次ぎ、2021年1月29日には内閣サイバーセキュリティセンターがSalesforceの名前を出して注意喚起をしたことがありました。

2022年10月にはマイクロソフトが提供しているAzureの「構成ミス」によって、111カ国、6万5,000を超える企業の機密情報、33万5,000以上の電子メール、13万3,000件のプロジェクトファイル、54万8,000人分のユーザー情報が漏えいした可能性があることが報じられました。

クラウドサービスを選択する際には、サービスの安定性、継続性に加えて、情報セキュリティについても目を向けることが必要であることがわかります。

経産省は2021年9月に「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」を公表しています。

クラウドサービスを提供する会社に向けて情報セキュリティのために最低限講じておくべき措置をガイドラインにまとめたものです。

クラウドサービスを会社の業務で利用するときには、少なくともガイドラインを守っているであろう会社を選択するようにした方がよいでしょう。

なお、クラウドサービスの利用者目線では、政府が2022年12月28日に「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針」を出しています。

政府がクラウドサービスを利用する場合に、どの会社を選択するかの基準を定めたものです。

クラウドサービスを会社の業務で利用するときには、参考にできると思います。

まとめ

クラウドサービスは会社の業務を効率化するためには不可欠なツールになっています。しかし、業務の効率化ばかりを重視すると、サービスの突然の中止・停止、障害の発生、情報漏えいなどが発生するリスクが高まります。

事業継続リスクという危機管理の観点も考慮して、サービスを提供する会社を選択する必要があります。

危機管理、事業継続リスクの側面を重視すると、万が一に備えて、アナログでも業務を進められる環境や情報は残しておいたほうようにはしておいた方がよいと思います。

アサミ経営法律事務所 代表弁護士。 1975年東京生まれ。早稲田実業、早稲田大学卒業後、2000年弁護士登録。 企業危機管理、危機管理広報、コーポレートガバナンス、コンプライアンス、情報セキュリティを中心に企業法務に取り組む。 著書に「危機管理広報の基本と実践」「判例法理・取締役の監視義務」「判例法理・株主総会決議取消訴訟」。 現在、月刊広報会議に「リスク広報最前線」、日経ヒューマンキャピタルオンラインに「第三者調査報告書から読み解くコンプライアンス この会社はどこで誤ったのか」、日経ビジネスに「この会社はどこで誤ったのか」を連載中。