【人事必見】セキュリティクラウドとは？導入のメリット・注意点を解説

働き方改革やDXの一環で、セキュリティクラウドを導入する企業が増えています。今回は、セキュリティクラウドの特徴、メリットを明らかにした上で、セキュリティ面で注意すべき点や人事業務で有効に活用できるサービス事例について解説していきます。

総務省の「令和元年通信利用動向調査」によると、クラウドサービスを導入している企業は増加しており、2019年時点でクラウドサービスを「全社的に利用している」または「一部で利用している」と回答した企業の割合は64.7%と過半数を占めています。ここでは、クラウドサービスの中でも、安全性が高いものをセキュリティクラウドと呼称し、その定義、導入する目的とメリットについて解説します。

なお、人事業務の関連テーマとして「【人事必見】中小企業が人事評価システムを導入するメリットとは？活用法、選び方を解説」も参照すると、より理解が深まりますので、ぜひご覧ください。

• クラウドサービスとは

クラウドサービスとは、企業内でインフラやソフトウェアを保持しなくても、ウェブ上でサービスを利用できる仕組みのことです。

従来、ユーザーがハードウェアやソフトウェアを購入し、パソコンにインストールしなければ、サービスが利用できませんでした。しかし、クラウドサービスはそうしたもののインストールが不要で、ウェブにアクセスできる環境であれば、パソコン以外の端末からでも利用することができます。

• セキュリティクラウドとは

クラウドサービスは、ウェブ上にサービス環境を構築することから、利便性がある一方で、不正アクセス等、セキュリティ面の懸念もあります。

このセキュリティ面ですが、サービスを提供しているベンダーによって、セキュリティのレベルに差があります。この記事では、セキュリティ対策が充実していて安全性が高いサービスを「セキュリティクラウド」と定義し、解説をしていきます。

企業がセキュリティクラウドを導入する目的を見ていきます。

• コストの削減

主要な目的として挙げられるのは、コストの削減です。社外にシステム環境を用意することにより、資産・保守の管理体制を社内に構築することが不要となります。これにより、インフラ・ソフトウェアのコストや社内の体制構築・維持にかかる人件費を削減することができます。

• クラウド特有の機能を利用可能

クラウドサービスは、情報の整理や共有に強みを持っており、その強みに起因する機能を持っています。副次的な目的にはなりますが、クラウドサービスを導入すれば、その機能を利用することができます。例えば、人事評価システムであれば、従業員の評価情報を、過去の異動履歴や研修受講履歴とリンクさせて、優秀層に対して、タレントマネジメントをシステム上で、実施することが可能です。

クラウドサービスを導入するうえでセキュリティ面でのメリットを説明します。

• 導入、運用のハードルが低い

機器の導入やネットワークの購入をせずに、導入することができます。システムのインフラ部分の管理をベンダーが担うため、セキュリティ対策の一部を社外に任せることができます。

• 端末にデータが残らない

ウェブ上にデータがあるため、万が一、従業員に貸与しているスマートフォンやモバイル端末が紛失したときや、従業員が退職したときにデータ漏洩するリスクがありません。

• 常に最適なデータ管理がなされる

ベンダーのデータセンターで、データが管理されるため、自社サーバでのデータ管理と比較して、ストレージを短時間で拡張できます。また、データセンターには最先端の設備が導入されている上、サーバー管理のプロが常駐しているため、最新のセキュリィ対策の元、データを管理することが可能です。

次にセキュリティクラウドの特徴として、オンプレミスとの違いやサービスのセキュリティリスク、セキュリティ基準について解説します。

オンプレミスとは自社内にシステムを保有し、サーバーを運用する形態を指します。ここでは、クラウドとオンプレミスの違いを見ていきます。

• システムの管理範囲の違い

オンプレミスは、社外にシステム環境を構築するクラウドとは、サーバーの運用形態が異なります。これにより、システム環境の構築・保守を自社で全て担うか、インフラ部分の管理をベンダーに任せるか、自社の管理範囲が変わってきます。クラウド利用の方が、管理範囲が限定されるため、サーバー保守やセキュリティ対策にかかるコストを削減できます。

• カスタマイズ性の違い

クラウドはベンダーが提供しているサービスの枠内でシステムを利用するため、自社でカスタマイズできる範囲が限られています。一方、オンプレミスは、ハードからソフトまで自社内で確保するため、自社の特性に合わせたカスタマイズが可能です。

利便性の高いクラウドサービスですが、ウェブ環境に依存する性質上、セキュリティ面のリスクも存在します。具体的なリスク内容を見ていきます。

• 不正ログインや不正アクセス

クラウドサービスは、ID・パスワードとウェブの接続環境があれば、利用可能です。そのため、従業員ではない第三者もアクセスできてしまうリスクがあります。また、コンピューターウィルスやサイバー攻撃などのリスクもあります。

• データ消失

ベンダー、又はベンダーがメンテナンスを外部委託している場合においても、データを管理しているサーバで障害が発生した場合、そこで管理されているデータが消失してしまうリスクがあります。
また、従業員がシステムを操作しているとき誤ってデータを消去してしまうリスクも考えられます。

クラウドサービスのセキュリティを担保するためには、いくつかのポイントがあります。総務省の「国民のための情報セキュリティサイト」では、クラウドサービス事業者が行うべき主要な情報セキュリティ対策として、以下の7つの基準項目を挙げています。

• データセンターの物理的な情報セキュリティ対策

地震、風水害等の災害対策、第三者による侵入対策が取られているか。

• データのバックアップ

データが消失したときにバックアップデータに差し替えられるか。

• ハードウェア機器の障害対策

データの消失を引き起こすハードウェアの障害を防ぐ対策が取られているか。

• 仮想サーバーなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策

OS、ソフトウェア、アプリケーションが随時更新され、最新の状態が保たれているか。

• 不正アクセスの防止

第三者のシステムへの不正アクセスの対策が取られているか。

• アクセスログの管理

不正アクセスがあった場合の原因追及やエビデンスが残せるような管理がされているか。

• 通信の暗号化の有無

システムの送受信データにおいて、暗号化の技術が組み込まれているか。

これらの項目は、全て最高水準であることまでは求められませんが、自社の情報セキュリティポリシーとベンダーの契約内容・規約がマッチしているか確認することが重要です。

続いてセキュリティクラウド導入時の注意点として、前章で取り上げたリスクへの対応策を解説します。実際にクラウドサービスを導入する際に、参考にしてください。

多くのクラウドサービスでは、不正ログインや不正アクセスに対して、以下の認証プロセスやアクセスログ管理を設定することで対応しています。

【認証プロセスの設定】

未然防止策として、パスワードが第三者に特定されないよう、以下の設定がされています。

• ワンタイムパスワードを設定する

ログイン時にランダムのパスワードを発行することにより、第三者によるパスワードの特定を防ぎます。

• パスワードの連続入力回数を制限する

パスワード入力回数を制限することにより、ランダムにパスワードを入力して正しいパスワードを見つけ出すプログラムの攻撃を防ぎます。

• 定期的なパスワード更新を促す

パスワードを定期的に更新することにより、長期間パスワードが変更されないことに起因する漏洩を防止します。

【アクセスログ管理の設定】

不正ログイン、不正アクセスが合った場合、その事実が即時にユーザーに通知されます。この体制になっているかは、ベンダーによって差があります。サービス内容は、もちろんのこと、事態発生時の情報開示の規約を確認することが必要です。

データが消失するリスクに対しては、物理的な対策とウェブにおける対策に分けられます。

【物理的な対策】

ベンダーが管理しているデータセンターにおける災害・侵入対策、ハードウェア機器の障害対策があります。

• データセンターの災害・侵入対策

サービスを利用する際に、データセンターの場所・状況を把握しておくことが重要です。災害・侵入のリスクが低いか、可能であれば現地現認するとよいでしょう。

• ハードウェア機器の障害対策

ハードウェア障害とは、サーバを構成するパーツが劣化し故障することに起因した障害のことです。未然防止策としては、集中アクセス時に複数サーバーに負荷を分散させるロードバランサを導入しておくことが大切になります。また事象発生時の対策としては、障害発生時に切り替わる予備サーバーを用意するというような冗長化等があります。

【ウェブにおける対策】

ベンダー側の障害や不具合、または従業員の操作ミスによりデータが消失してしまったときに、復旧できるかどうかは重要なポイントです。復旧できる場合、バックアップデータをどの程度の頻度で取っているかを合わせて確認しましょう。

また、従業員の操作ミスについては操作性に問題があることがあります。そもそもミスが起きにくいように、操作性の高い設計になっているかも確認する必要があります。

システムを操作する従業員の教育にも注意を払う必要があります。

従業員のセキュリティ意識を高く保つため、情報管理の社内ルールを定めたうえで、セキュリティ対策の重要性を周知します。具体的な社内ルールの例を紹介します。

• ID・パスワードの管理

定期的なパスワード更新を促したり、オフィス内であれば、ログイン情報のメモを自席近くに残しておかないといったことが挙げられます。

• メール送受信

メール送信時に宛先に誤りがないか確認する、メール受信時に差出人や件名に不審な点がある場合は開封しない、といったルールを習慣化させる必要があります。

• サイバー攻撃に対する理解

ファイルを暗号化して使用不能にし、暗号解除のための身代金要求をするランサムウェアや、パスワード付きZIPファイルにまぎれ、企業情報を盗み出すEmotetといったメールを利用した攻撃が考えられます。

従業員のリテラシー向上の手段としてe-learningや、サイバー攻撃対策であれば、攻撃メールを模したメール訓練を取り入れるとよいでしょう。

最後にセキュリティクラウドを選ぶポイントと、人事業務に関連したクラウドサービス事例について取り上げます。

セキュリティクラウドを選ぶ際に、確認したいポイントを３つ紹介します。

• システムで実現したいことを明確にする

具体的に、どの業務において、どのような目的でシステムを導入するのか、明確にすることが重要です。業務内容によって、取り扱う情報もその運用も変わります。例えば、運用の変化が大きい業務であれば、クラウドではなく、オンプレミスを選択するということもあり得ます。

• 自社に適したサービスを選ぶ

各クラウドサービスの特徴やメリット・デメリットは様々です。それらを確認し理解したうえで、自社のセキュリティポリシーと一致するか、実際の業務運用をシステムで実現できるか、効率化がはかれそうか、複合的な観点で判断しましょう。

• 信頼できるサービスを選ぶ

前章で説明したセキュリティ対策やデータ保護について、信頼の置けるベンダーを選びましょう。複数候補を出して比較検討するとよいでしょう。

【無料で使えるサービス】

• ジョブカン労務HR

ベンダー名：株式会社DONUTS　　　
利用者数：上限なし（無料プランは5名まで、30日間限定）　　　　
人事機能：社会保険、年末調整、マイナンバー管理等
主な特徴：JIS Q 15001認証の個人情報保護システムとSSLを用いた暗号化通信等の対策で、機密情報を管理

• オフィスステーション 労務

ベンダー名：株式会社エフアンドエム
利用者数：上限なし
人事機能：年末調整、有休管理、ウェブ給与明細、マイナンバー管理等
主な特徴：ログイン時の二段階認証、WAF、1日1回の自動バックアップを実装

【有料で使えるサービス】

• 総務人事奉行クラウド

ベンダー名：株式会社オービックビジネスコンサルタント
利用者数：上限なし（1,000名以上は機能拡張の必要あり）
料金：初期費用50,000円＋利用料72,000円～1,120,000円/年（利用料は従業員数による）
人事機能：入退社管理、在職証明書の発行、労働者名簿の調製等
主な特徴：24時間365日の運用監視、月間稼働率99.9％を保証、セキュリティに係る内部統制を対象とした国際認証「SOC2 Type2」取得

• jinjer

ベンダー名：株式会社ネオキャリア
利用者数：上限なし（1,000名以上は別途、見積もりが必要）
料金：利用料1ユーザー300円/月（利用料は機能・従業員数による）
人事機能：勤怠管理、給与計算、経費精算、雇用契約、年末調整
主な特徴：常時1分ごとに自動監視、複数の拠点かつ複数台のサーバー・DB構成にて冗長化

セキュリティクラウドは、情報を整理し共有するうえで、高い精度で業務効率化を実現できるサービスです。一方で、機密性の高い情報や基幹業務を扱うシステムでは、セキュリティの問題から、オンプレミスを選択する場面もあります。

システムで「実現したいこと」に対して、セキュリティクラウドが適しているかどうか、複数の観点から判断することが重要です。

HRBrainは、従業員の目標設定から評価までのオペレーションの全てをクラウド上のソフトウエアで効率化するサービスです。MBOやOKR、1on1などの最新のマネジメント手法をカンタン・シンプルに運用することができます。

「そろそろ人事制度を整備したいが大変だし、誰に相談したらいいか分からない・・」
「もっと目標意識を高めて、メンバーに自発的に成長をして欲しい・・」
「管理作業に時間・工数が掛かりすぎる。無駄な業務に時間を割きたくない・・」

このような悩みをHRBrainで解決できます！
無料トライアル実施中！ぜひお試しください！