技術者に伝わる『クラウド利用規程』の書き方

― ネットワーク図と一緒に作る方法

「クラウド利用規程は作りました。でも、エンジニアからは一度も読みましたって言われたことがないんです……」

情報セキュリティ規程あるあるです。

• 文書は立派だけど、実際のネットワーク構成と紐づいていない

• 「外部クラウド」「社外システム」という言葉が出てくるが、“それって図のどこ？”が分からない

結果として、

ということがよく起きます。

一方、IPAや経産省のクラウド利用ガイドライン、JNSAの情報セキュリティポリシーサンプルなどでも、ネットワーク・システム構成を前提に規程を作ることの重要性が繰り返し示されています。

そこで今回は、

を、静岡の中堅企業の一人情シス・総務情シス向けに整理します。

1. なぜ「クラウド利用規程」は技術者に刺さらないのか

まず、よくある失敗パターンから。

パターン1：言葉がふわっとしていて、図にマッピングできない

典型的なNG例：

• 「社外クラウドサービスへの接続は禁止する」

• 「重要情報は安全なネットワークでのみ扱うこと」

「社外」「安全なネットワーク」って、どこのこと？ネットワーク図上のどのセグメント・どのクラウドアカウントを指すのか分からないと、エンジニアは具体的な設計・運用に落とし込めません。

IPAの「中小企業の情報セキュリティ対策ガイドライン」でも、自社のネットワーク・システム構成を踏まえて規程をカスタマイズすべきとされており、サンプルポリシーにも前提となるネットワーク構成図が示されています。

パターン2：実際のクラウド利用状況とズレている

• 文書上は「クラウドは原則禁止」と書いてあるのに、現場ではOffice 365や各種SaaSをバリバリ使っている

• 無料のクラウドサービス利用禁止と書いてあるのに、実情把握も代替案もないから、結局シャドーITが増える

クラウド利用ガイドラインの解説でも、まず「どの部署がどのクラウドをどう使っているかの現状把握」が重要とされています。

2. まずは“図”から始める：クラウド利用規程の土台になる3つの図

技術者に伝わる規程を作るには、

ことが近道です。

ネットワーク構成図のベストプラクティスでは、

• 全体像を示す「概要図」

• 詳細を示す「拠点別・用途別の詳細図」

をレイヤーで使い分けることが推奨されています。

クラウド利用規程の前提として、最低限こんな3つの図を用意しておくと便利です。

2-1. 図①「全体のネットワーク概要図」

• 社内LAN

• インターネット接続環境（FW／プロキシ）

• 各種クラウド（Microsoft 365、Azure、各種SaaS）

を1枚で俯瞰できる図です。

ポイント：

• 「社内」「DMZ」「インターネット」「クラウド」をゾーンで色分けする

• 主な通信経路（社内LAN→FW→インターネット→SaaS 等）に矢印を引く

• VPNや専用線（ExpressRoute、Site-to-Site VPNなど）があれば太線で強調

2-2. 図②「クラウド接続詳細図（IaaS/PaaS編）」

AzureやAWSなど、IaaS/PaaSを使っている場合の詳細図です。

• 仮想ネットワーク（VNet/VPC）

• サブネット・NSG/セキュリティグループ

• オンプレとの接続（VPN／専用線）

• インターネット公開の有無（ロードバランサ・WAF 等）

を整理しておきます。

政府調達向けのクラウド運用ガイダンスでも、設計・運用時にクラウドのセキュリティ設定を一覧で確認することが推奨されており、ネットワーク構成とセキュリティ設定をセットで把握することが前提になっています。

2-3. 図③「クラウドサービスとデータ流れ図（SaaS編）」

SaaS中心の会社なら、データの流れに特化した図も1枚あると良いです。

• 従業員端末（社内・在宅）

• 各SaaS（メール、ファイル共有、CRM、チャット、会計など）

• データの向き（どのサービス間で同期しているか）

IPA「中小企業のためのクラウドサービス安全利用の手引き」でも、

• 誰が

• どのサービスに

• どの情報を入れているか

を整理する重要性が強調されており、そのベースになるのがこの「データ流れ図」です。

3. 図から“条文”を起こす：技術者に刺さるルール化の手順

図が用意できたら、いよいよ**「線」にルールを乗せていく**作業です。

3-1. ルール化するのは「線」と「箱」

図の上で、次の2つに注目します。

1. 線（通信経路）

   • 社内LAN → インターネット → SaaS

   • 拠点A → VPN → Azure VNet

   • 自宅 → VPN／ゼロトラスト → 社内／クラウド

2. 箱（クラウドサービス・ネットワークセグメント）

   • 「本番Azureサブスクリプション」

   • 「検証用Microsoft 365テナント」

   • 「部門ごとのSaaS」

それぞれについて、

• どのユーザが使ってよいか（役割・部門）

• どの端末・ネットワークから使ってよいか

• 認証方法（MFA必須か、SSO必須か）

• どのデータ（機密度）まで扱ってよいか

• ログをどこに残すか

を決め、それを条文の形に落とすイメージです。

3-2. 例：SaaSへの直接アクセスの線から条文を起こす

図の線：

ここから、次のような条文に落とせます。

図を見ながら書いているので、技術者から見ても「どの線の話か」が一目で分かるようになります。

4. 技術者に伝わる『クラウド利用規程』の構成例

ここからは、実際に文書としてまとめるときの「目次案」です。

4-1. 典型的な章立て

1. 目的

   • なぜクラウド利用規程が必要か（情報漏えい防止・法令順守・業務継続など）

2. 用語の定義

   • SaaS / PaaS / IaaS / パブリッククラウド / プライベートクラウド

   • 「社内ネットワーク」「DMZ」「インターネット接続環境」など→ ここでネットワーク図上のゾーンと用語を揃えておくのがポイント。

3. 適用範囲

   • 対象となるシステム・クラウドサービス・ユーザ

4. クラウドサービスの分類と利用承認

   • 公式に利用を認めるサービス一覧（付録）

   • 新規クラウドサービス利用申請のフロー

   • 無料サービス・個人契約サービスの扱い（原則禁止＋例外）

5. アカウント管理と認証

   • ID発行・権限付与・退職時削除のルール

   • MFA・SSOの必須範囲

   • 個人アカウントの業務利用制限

6. ネットワーク・接続ルール

   • 社内LANからクラウドへの接続経路

   • 在宅・モバイルからのアクセス方法

   • VPN／ゼロトラストの利用条件

7. データの取扱い（格納・送信・バックアップ）

   • 機密区分ごとに利用してよいクラウドの範囲

   • 無料／海外クラウドへの個人情報アップロード禁止

   • バックアップ責任（どこまでクラウド／どこから自社）

8. ログ・監査・インシデント対応

   • クラウド側ログ、社内側ログの取得と保管期間

   • インシデント発生時の報告・対応フロー

9. シャドーITへの対応と教育

   • 未承認クラウドの業務利用禁止

   • 申告・相談を促す仕組み

10. 付録

    • ネットワーク概要図・クラウド接続詳細図

    • 利用中クラウドサービス一覧

    • 利用申請フォームひな形

CREXのクラウド利用ガイドライン解説でも、

• 現状把握

• 目的の明確化

• ルール策定と運用

のステップで、クラウドサービス一覧や利用状況の可視化が前提とされており、この構成と相性が良いです。

5. 章ごとに「図とセット」で書くコツ

5-1. 第4章：クラウドサービスの分類と利用承認

ここでは、「付録：クラウドサービス一覧」とセットで読む前提にします。

• 列例：

  • サービス名

  • 種別（SaaS/PaaS/IaaS）

  • 用途（メール／ファイル／CRM／会計など）

  • データの機密区分（一般／社外秘／特機密 等）

  • 利用可否（全社／特定部門のみ 等）

IPAや経産省のクラウド利用ガイドラインも、クラウドサービスごとにリスクと対策を整理し、利用の可否・条件を決めることを求めています。

規程の本体には、例えばこんな書き方ができます。

5-2. 第6章：ネットワーク・接続ルール

ここが**「ネットワーク図と一緒に作る」本丸**です。

ネットワーク概要図上の「線」ごとに、小見出しを作るイメージです。

• 社内LAN → インターネット → SaaS

• 社内LAN → VPN → IaaS/PaaS

• 自宅 → ゼロトラストアクセス → SaaS／社内

それぞれについて、

• どの線は許可・推奨か

• どの線は原則禁止か（例：社内経由せず個人端末から直接SaaS）

• 例外を認める場合の条件

を決めていきます。

5-3. 第7章：データ取扱いルールと「データ流れ図」

IPAの「クラウドサービス安全利用の手引き」では、

• バックアップ責任

• データ保存場所の確認

• 個人情報・機密情報の扱い

を明確にすることがチェックリストとして整理されています。

これに沿って、

• 機密度ごとに利用できるクラウドをデータ流れ図に色分け

• 「この経路でこの色のデータが流れるのはNG」という形で視覚的に表現

しておくと、技術者との会話が非常にスムーズになります。

6. 作り方のステップ：情シス・法務・技術者で一緒にやるワーク

「規程は紙で降ってくるもの」だと、現場はどうしても冷めます。

CREXの解説でも、クラウド利用ガイドラインの策定には情シス・事業部・法務・経理・経営層を入れた横断チームが重要とされています。

クラウド利用規程づくりも、簡易版でいいのでワークショップ形式がおすすめです。

ステップ1：ネットワーク図＆クラウド一覧を壁に貼る

• 図①〜③とクラウドサービス一覧を大きく印刷して会議室に貼る

• 参加メンバー：情シス、代表的なエンジニア、法務・総務、場合によっては業務部門

ステップ2：「危なそうな線」と「よく使う線」に付箋を貼る

• 直感で構いません。

  • 「ここが落ちたら一番困る」

  • 「ここから情報が漏れたらまずい」

  • 「現場はこの経路を一番使っている」

• 付箋で印を付けていきます。

ステップ3：その線ごとに「5つの質問」に答える

付箋を貼った線ごとに、次の5つを簡単にメモします。

1. 誰が使う線か（役職・部署・ロール）

2. どの端末／場所から使う線か（社内PC・在宅・BYOD）

3. どのクラウド／システムに行く線か

4. どのレベルのデータが流れるか（機密度）

5. 今、どんな守り（認証・暗号化・ログ）があるか／足りないか

→ これをそのまま条文にすると、

• 利用者

• 利用条件

• 技術要件

• データの範囲

が揃った**「技術者に伝わるルール」**になります。

ステップ4：法務・総務が“日本語”に整える

ワークで出たメモをもとに、

• 法令・契約との整合性

• 他規程（情報セキュリティ基本方針・就業規則）との整合性

を確認しながら、条文形式に整えていきます。

JNSAの情報セキュリティポリシーサンプルでも、基本方針 → 規程 → 個別標準という三層構造で、ネットワーク管理規程やクラウド利用標準などを位置づける考え方が示されています。

7. 具体例：ネットワーク図から起こした条文イメージ

最後に、実際の条文化イメージをもうひとつ。

図の状況（例）

• 社内LANからAzureの仮想ネットワーク（本番環境）へは、拠点ルータ－VPNゲートウェイ－NSGを経由してのみ接続

• 管理用RDP/SSHは踏み台サーバ経由のみ許可

条文例：

こうして図と条文が1対1で対応していると、技術者が規程を「設定変更の仕様書」としても使えるようになります。

山崎行政書士事務所がお手伝いできること

山崎行政書士事務所では、クラウド法務・情報セキュリティ専門として、

• 既存のネットワーク図・クラウド構成図をもとにした「クラウド利用規程」「ネットワーク管理規程」のドラフト作成

• IPA・総務省・NISC等のガイドラインを踏まえたクラウド利用ルールのチェックリスト化

• 情シス・技術者とのワークショップ形式での「図と条文をつなぐ」クラウド利用ルールづくりのファシリテーション

• 取引先からの情報セキュリティチェックシートに耐えるためのクラウド利用ポリシー／ネットワーク構成の説明資料（1〜2枚もの）作成支援

などを行っています。

という段階からで大丈夫です。

静岡県内の企業さま向けには、オンライン・訪問どちらでも対応可能です。