2020/11/10 クラウド利用者でクラウドの保管しているデータが全て消えてしまい修復不可能な事故が発生しました 発生したのは福井県産業情報ネットワークが運営している「ふくいナビ」で11月1日のことです。 事故の状況は10月末でクラウド契約が終了するので10月中旬に更新手続きを行ったがクラウド事業者が更新契約手続きを忘れており契約終了とのことで預かっているバックアップ情報も合わせて全て削除してしまい、手元には何も残っておらず復旧できなくなったというものです 担当者としては最初は単純なトラブルであろうとクラウド事業者に問い合わせしていたと思いますが途中から頭は真っ白になり言葉も出なくなったのではないでしょうか? 長い年月、蓄積してきた様々なデータや運用プログラム等すべてが消えてしまったのですから・・・ 本件では様々なことが考えられます 1)クラウド事業者を信じて運用管理全てをバックアップ情報管理まで含めて一切任せていた 2)クラウド事業者は契約終了とともに即日、預かっている情報すべてバックアップを含めて一切の事前確認を行わず削除した 3)更新契約の手続きが正常に完了したのか確認していない 4)クラウド事業者との契約で契約完了後の措置についてどのような契約内容になっているのか確認がされていない まずは 1)に関して運用は全面的に任せるとしても預けている情報の原本保管(どこまで戻れるかは別として)を手元においておくべきでした 今回は手元に何も残っておらず普及するにも一から再作成になるものと思います・・・ 2)に関してはここは難しいところです 契約期間終了後に受託事業者の手元に顧客データベースをいつまで残せばよいのかという問題です セキュリティの観点からは契約終了後ただちに削除するのはある意味正解でしょうが、何らかの手違い(今回のような)があった場合の復旧を考慮し、契約書などで契約終了後の保管期間あるいは削除のタイミングを事前にクライアント事業者に周知しておくことが必要と思われます 3)に関してはクライアント事業者が委託先を全面的に信用しておりなんらチェックする必要性を考えていない、あるいはその仕組みがなかったことによるかと思われます 契約完了前に念のための確認が行われていればクライアント事業者の管理責任はかなり免れると思われます 4)についてこれは契約完了時の手続き(データ/アカウント削除等)について事前に確認がどこまで行われていたかが問題になると思います JISQ15001:2017年版ではこの点について契約書に記載されているかの確認が追加されましたのはご存じのとおりです 以前に海外のクラウド事業者のサービスを利用して通信販売システムを立ち上げその企業における主力サービスとして順調に売り上げを伸ばしていた事業者がありました ある日突然、通信販売システムがストップしてネットから利用できなくなりました 原因を調査してみると海外のクラウド事業者が倒産しており預けていた販売情報/商品情報など一切がまさしく雲(クラウド)のかなたに消えてしまった事故(事件?)があったことを思い出しました 手元にバックアップもなく、売り上げ情報の消失に伴うビジネスチャンスの喪失と売掛情報が消失し売掛代金の回収もできなくなりその年は大幅な赤字になったと聞いています このような事故を防止するため経済産業省が音頭をとってクラウドサービスを利用するためのガイドラインが出来上がりできるだけ国内のクラウドサービス事業者を利用するよう推奨するようになったと記憶しています クラウドサービスを利用するにあたって様々な条件を検討したクラウド利用におけるBCPを策定し必要な対策を準備しておくことが傷口拡大を防ぐとともに迅速な復旧を図れるものと思います 本件、詳細な続報に注意し新たな情報が入りましたらまたお届けしたいと思います 基幹システムをクラウドサービスに依存している(した)事業者にあっては決して他人事ではないと思います 今一度、自社システムの運用管理について確認される良い機会と思います 福井県産業情報ネットワーク事故発表内容 https://www.fisc.jp/blog/2020/11/2571/ |