昨今、多くの企業でシステムのクラウド化が進められています。中でも、電子帳簿保存法やインボイス制度の影響により、クラウド会計システムが人気を博しています。ただ、情報の安全性がもっとも求められる業務のため、導入にあたっては「セキュリティ面が心配」という声も多く聞かれます。
そこで今回は、クラウド会計システムのセキュリティについて、導入時にチェックしておきたいポイントをまとめます。
目次
クラウド会計システムとは
クラウド会計システムは、インターネットを介して会計アプリケーションを利用するクラウドサービスです。ネットワーク上のサービスにアクセスするだけですぐに利用でき、パソコンとインターネット環境、IDやパスワードなどのアクセス権があれば、時間や場所を問わず業務に従事できます。
市場では、会計業務に特化したタイプから管理会計、予実管理や経営分析も行えるタイプまで、提供されるサービスも多様化しています。最近は、既存の業務システムと柔軟に連携できるクラウド会計システムも増えてきており、金融機関などの外部データはもちろん、各部門のシステムで管理するデータを自動取り込みできる機能もあるため、より精度の高い経営資料を迅速に提供することができます。
クラウド会計システムとインストール型会計ソフトの違い
クラウド会計システムは、インターネット経由でベンダーが提供するアプリケーションを“借りる”形態のため、ソフトの購入やインストール作業、アップデート等のメンテナンスが必要ありません。
また、会計業務は税制改正の影響を受けやすく、システムのアップデートを都度行わなければなりませんが、インストール型は自社の管理者が手作業で行うのに対し、クラウド会計システムはベンダーがプログラムを更新するため、常に最新のシステム環境で利用できます。
さらに、利用中ハードウェアに何らかのトラブルが発生した場合、インストール型では会計データが取り出せなくなったり、データ自体が破損して読み取れなくなったりする恐れがありますが、クラウド会計システムなら別の端末からでもアクセスできるため、業務に支障を来たしません。サービス機能にトラブルが発生した場合も、ベンダーが対応します。ベンダーがトラブル対応にあたっている最中は、一時的にアクセスできない可能性があるものの、基本的にセキュリティ対策もベンダーが行っているため、より信頼できるサービスを選択することでトラブルが発生する可能性を最小限に抑えることができます。
その他の違いも整理すると、インストール型とクラウド会計システムには次のような違いがあると言えます。
| インストール型会計ソフト | クラウド会計システム | |
|---|---|---|
| 所有と管理 | 自社で所有 自社内でソフト管理 |
クラウドサービスとして利用する |
| 導入と運用 | 自社でインストールして使用 | クラウドサービスにログインして使用する |
| ハードウェア 管理 |
自社で設備を用意する必要がある | クラウドサービスとして利用する |
| プログラム 更新 |
自社で定期的に行う必要がある | クラウドサービス提供事業者が担当 |
| データ管理 ・保全 |
自社で定期的にバックアップを行う必要がある | クラウドサービス提供事業者が担当 |
| セキュリティ | 自社で継続的に実施 | クラウドサービス提供事業者が担当 |
| アクセス | 社内ネットワークを利用するため原則社内のみ | インターネットを利用する 場所を選ばずアクセスできる |
| データ連携 | ExcelまたはCSVで取込 もしくはシステムカスタマイズによる連携 |
インターネットを介してAPIなどで連携 |
※ インストール型とクラウドサービスの業務上の違いについては、コラム「オンプレとクラウドで業務システムはどう違う?業務への影響からクラウドのデメリット解消法、利用料の内訳まで一挙解説」を参照ください。
クラウド会計システムで考えておくべきリスク
会計システムで考えておくべきリスクには、次の3点が挙げられます。
- 情報漏洩
- データの消失
- 不正アクセス
会計システムで管理する情報は、企業経営の重要機密データでもあるため、情報漏洩が起こると経営に甚大な被害をもたらすことになりかねません。また、従業員や取引先の顧客情報や銀行口座情報なども含まれるため、情報漏洩によって個人が被害を受ける可能性があります。
さらに、会計データが消失すれば、企業の財務活動や会計業務が停止・遅延する事態になり、日常業務に大きな影響を及ぼします。正確な会計データがなければ、正しい財務報告をすることもできず、データの復旧や再構築をするにしても予想外のコスト発生や事業中断による損失も考えられます。申告や納税などに影響が生じると法令違反になる可能性もあり、企業は罰金や訴訟のリスクを負いかねません。データの破損・消失が社外に漏れると、顧客や投資家の信頼を失うことも考えられ、損失は計り知れないものとなるでしょう。
情報漏洩やデータ消失は、不正アクセスによって引き起こされることがあり、セキュリティが脆弱な場合、不正アクセスのリスクは格段に高まります。顧客情報や財務データが盗まれ不正利用されるだけでなく、「財務データが改ざんされる」「データが破壊される」「システムがダウンする」といったトラブル発生の可能性もあり、ビジネスに悪影響を及ぼすことは免れません。
これらのリスクを発生しないためにも、しっかりセキュリティ対策が施されたクラウド会計システムを選ぶことが肝心です。
クラウド会計システムのセキュリティ・チェックポイント
クラウド会計システムのセキュリティレベルを判断するには、いくつかポイントがありますが、最低限押さえておきたいポイントとしては次の7点が挙げられるでしょう。
- ① データの暗号化
- ② アクセス制御と認証
- ③ ログと監視
- ④ 脆弱性管理
- ⑤ 災害等緊急時のバックアップと復旧機能
- ⑥ 不正アクセス検知・防止
- ⑦ 第三者によるセキュリティ評価
①データの暗号化
データの暗号化とは、通信データを暗号化し、解読されるのを防ぐ技術です。対象のクラウド会計システムについて、データ送信時や保存時に強力な暗号化が施され、第三者による不正アクセスからデータが保護される機能があるかを確認しましょう。
例えば勘定奉行クラウドの場合、利用者のデータをすべて暗号化(AES暗号化方式)し、他の利用者のデータとは隔離された状態で安全に保管しています。また、勘定奉行クラウドへの通信やデータセンター間の通信など、あらゆる通信をSSL暗号化通信で保護しています。
②アクセス制御と認証
アクセス制御とは、特定のデータやネットワーク、システム、アプリ、リソースへのアクセスを制限または制御することで、多要素認証(MFA)や役割ベースのアクセス制御(RBAC)などがあります。この設定を行うことで、クラウド会計システムで業務を行う際、権限を保持したユーザーのみがシステムにアクセスできるようになります。
例えば勘定奉行クラウドでは、OBCiD※とパスワード認証に加え、「Authenticatorアプリ」で発行されたワンタイムパスワードによる2要素認証を設定できます。パスワードは、利用者に定期的に変更してもらう設定もできます。
※OBCiD:独自に設定できるIDで、これ1つで複数の奉行クラウド製品にアクセスできます。
また、複数名で利用する場合、ユーザーによって入力・参照できる部門を制限することもできます。
これにより、ユーザーは、権限が付与された部門に対してだけ、仕訳伝票の入力や参照・帳票の確認ができ、証憑種類も合わせて設定すれば、利用者ごとに入力・参照できる証憑を制限できます。
③ログと監視
ログとは、コンピューターの利用状況やデータ通信などの履歴や情報を記録することです。操作やデータの送受信が行われた日時や、操作・データの内容、外部との通信履歴など、システムの利用状況をリアルタイムで記録し、不正なアクセスやシステム障害などの異常を検知します。
勘定奉行クラウドの場合、利用状況、リソース状況などを自動で24時間365日運用監視しています。勘定奉行クラウドの認証ログや操作ログを確認する場合は、メニューの運用監視から該当ログを選択し、ログイン日時やOBCiD、IPアドレス、ログインの成否を入力すると、一覧で表示されます。ログインに失敗すると赤色で表示されるので、不正アクセス等の異常を一目で検知できます。
またプラットフォームは、世界トップレベルの堅牢なセキュリティを誇る「Microsoft Azure」を起用し、世界中の約3,500名の「Microsoft Azure」サイバーセキュリティ専門家が常に監視・保護しています。
④脆弱性管理
脆弱性とは、システムやソフトウェアにおいて、セキュリティリスクとなり得る欠陥や弱点のことです。クラウド会計システムには、ソフトウェアやOSのセキュリティ上の問題、バグなどの脆弱性情報を調査し、その都度、最新のセキュリティパッチが適用されるようになっています。これにより、不正アクセスによるデータ漏えいを未然に防ぐことができます。
ただし、脆弱性は日々発見されるため、原則として1度ではなく定期的に行う必要があります。勘定奉行クラウドの場合は、サービスのリリース時、および年1回、定期的な脆弱性診断を実施することで、システムの脆弱性を排除しています。
⑤災害等緊急時のバックアップと復旧機能
クラウドサービスにおけるバックアップとは、ベンダーが提供するオンライン上のストレージにデータを複製して保管する仕組みのことで、災害発生時やデバイス故障時、システム障害時のデータ復旧に活用※されます。定期的にデータのバックアップが実施されることで、万が一のデータ損失時にも迅速に復旧できるため、BCP対策としても有効です。
※業務遂行上の特定タイミングにデータを復旧する機能ではありません。
バックアップ方法は、システム全体を網羅的にバックアップするタイプから、OSやアプリをバックアップするタイプなど、サービスによって異なります。勘定奉行クラウドの場合は、システム全体を網羅的にバックアップするタイプで、データはMicrosoft社の日本国法に準拠した日本国内のデータセンターのみで厳重に管理・運用されています。東西それぞれのデータセンターでデータを自動的に3重化して保管しており、不測の災害時にもすぐ復旧できる体制を整備しています。また、Microsoft社では「Microsoft Azure」の各サービスについてサービスレベルアグリーメント(SLA)※を定めており、勘定奉行クラウドに採用している「Azure SQL Database」は99.9%の月間稼働率が保証されています。
※サービスの品質保証
⑥不正アクセス検知・防止
クラウドサービスには、侵入検知システム(IDS)や侵入防止システム(IPS)などネットワークへの不正アクセスを検知・防止するためのシステムが導入されており、マルウェアの感染やデータ漏洩などのセキュリティインシデントを検出して素早く通知されるため、速やかな初動対応が可能です。
例えば勘定奉行クラウドでは、Webアプリケーション固有のリスクへの対応として、WAF(Web Application Firewall)を設置し、様々なサイバー攻撃をブロックしています。WAFは常に通信を監視し、シグネチャ(不正な通信や攻撃を識別するためのルール)を利用して通信の許可・不許可を決定します。シグネチャは定期的に自動更新され、ユーザー自身が手間のかかる更新処理をしなくても常に最新状態を維持できます。また、すべてのサービス境界にはファイヤーウォールを設置して防護しており、ネットワークレベルとWebアプリケーションレベルでダブルのセキュリティ対策が施されています。
⑦第三者によるセキュリティ評価
セキュリティ性の高いクラウド会計システムの多くは、第三者評価を取得しています。第三者評価とは、組織外の第三者による公正な審査を受け承認されたことを証明するものす。セキュリティに対する第三者評価は、その評価基準を満たしているとお墨付きを受けたことになり、自身で複雑なセキュリティ機能を確認するより簡単にセキュリティレベルを把握することができます。
セキュリティに関する第三者評価には、ISO認証やプライバシーマーク、TRUSTe、SOCなど様々な評価制度がありますが、クラウド会計システムの第三者評価としては、SOCを確認するのが一般的です。
例えば勘定奉行クラウドは、国際会計基準に準拠した第三者監査評価による財務報告に係る内部統制を対象としたSOC1 レポート(Type2)、セキュリティに係る内部統制を対象としたSOC2 レポート(Type2)を取得しています。特に「SOC2」は、ある一定期間におけるクラウドサービス企業のセキュリティの内部統制を評価する保証報告書で、「勘定奉行クラウド」のセキュリティ管理体制の有効性が証明されていることになります。他にも、金融情報センター(FISC)が策定するFISC安全対策基準にも準拠しており、金融機関やFISC安全基準準拠を求める企業に「高い安心」を提供しています。
おわりに
会計システムは企業の機密情報を管理するものであり、クラウド化にあたって情報漏洩・データの消失・不正アクセスのリスクに備えることはとても大切です。セキュリティ対策がしっかりしたクラウド会計システムを選べば、インストール型会計ソフト以上に、安全に自社データを管理することができます。
と同時に、自社でも定期的にセキュリティ教育を実施し、従業員のセキュリティ意識を高めれば、「鬼に金棒」になることでしょう。
自社の機密情報を守るため、クラウド会計システムを選ぶ際はセキュリティ対策にも注目してください。
関連リンク
こちらの記事もおすすめ
メルマガ読者20万人以上!
OBC 360のメルマガ登録はこちらから!
メルマガ登録
OBC 360のメルマガ登録はこちらから!
