ワークスタイルの多様化により注目を集めているのが、データの安全性を高めるために必要なクラウドセキュリティです。この記事では、クラウドセキュリティとは何か、その重要性とクラウドサービスのメリットやセキュリティリスク、必要なセキュリティ対策について解説します。
クラウドセキュリティとは
クラウドセキュリティとは、クラウド上で実行するアプリケーションや、クラウド内に保存しているデータなどをさまざまなリスクから保護することです。テレワークなどの多様化する働き方に対応するために、現在では多くの企業がクラウド化を進めています。それにより、自社内でネットワークを運用し、データを外部から隔離して保存するオンプレミス環境とは異なるセキュリティリスクへの対策が必要になりました。
クラウド環境ではインターネットなどを通じてサービスを利用し、データを離れた場所へ保存するため、社外との接続性が高い特徴があります。外部と接続しているクラウドでは、主にサイバー攻撃、不正アクセスなどによるデータ漏えい、データ消失などのリスクが懸念されます。クラウドセキュリティは、これらのデータ保護を中心に行われる重要なセキュリティ対策です。
クラウドセキュリティの重要性
近年クラウドへの移行を進める企業が増加していますが、移行後にはこれまでのオンプレミス環境と同じセキュリティ対策ではなく、クラウドに適したセキュリティを導入する必要があります。アメリカの国土安全保障省CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)による2021年1月の分析レポートでは、クラウドサービスの利用者を狙った攻撃が増加している状況だと発表されました。
フィッシングメールから多要素認証の解除まで、クラウドセキュリティの弱点をついたサイバー攻撃による被害が認められているため、クラウドサービス利用時のセキュリティを強化する必要があると警告しています。
たとえクラウドサービス側が強固なセキュリティ対策を行っているとしても、あらゆるリスクに備えるためには、利用者側においてもセキュリティ対策が欠かせません。
クラウドとオンプレミスのセキュリティ面での違い
クラウド環境とオンプレミス環境では、サーバー構築の有無に大きな違いがあります。オンプレミスでは、サーバー機器を購入して社内にサーバー環境を構築、データを保管します。たいして、クラウドでは社内にサーバーを構築する必要がありません。インターネットを通じてクラウドサービスを利用し、サービスを提供しているベンダーのデータセンターにデータを保管するため、保管場所が異なります。
オンプレミスは自社でローカルシステムを設置するため、独自の情報セキュリティポリシーに適したセキュリティ環境を構築できます。クラウドでは、各クラウドサービスのベンダーが設定している情報セキュリティポリシーに準ずるため、自社でサーバーに対するセキュリティ対策を講じる必要はありません。
クラウドセキュリティについては、以下の記事もご参照ください。
クラウドのセキュリティは大丈夫なのか?
クラウドサービスのセキュリティ面でのメリット
クラウドサービスには、セキュリティ面においてさまざまなメリットがあります。代表的なものとして、サービスが提供者に管理されている、高度なサイバー攻撃に対応できる、セキュリティ対策のための機器が必要ないなどが挙げられます。
サービス提供者によって管理されている
クラウドサービスを利用する場合には、社内にサーバーやネットワークを構築しないこともあり、自社でセキュリティ対策を行う必要がありません。インターネットを経由してアプリケーションやサーバーなどのサービスが提供されるため、サービス契約後にはすぐにクラウドサービスを利用でき、管理会社にセキュリティ面での管理・運用も任せられます。
インターネットを経由するときの安全性を高めるため、暗号化やアクセス制限、強固なデータ保護まで、必要なセキュリティ対策をクラウドサービスベンダーが行ってくれます。セキュリティ対策には専門知識のある担当者が必要ですが、クラウドサービスを利用している場合にはサービス提供会社に管理を任せられるため、自社にIT人材がいない場合でも問題なく運用可能です。
高度化した攻撃にも対応できる
インターネット上でサービスを提供するクラウドサービスには、データが外部と遮断されているオンプレミスとは異なり、外部の第三者による不正アクセスなどが生じるリスクがあります。クラウドサービスに特化したサイバー攻撃には、マルウェアを使用した攻撃やフィッシングによるアカウントの乗っ取り、APIからの侵入などがあります。
ただし、クラウドサービスでは管理会社がこれらのサイバー攻撃に対応する強固なセキュリティ対策によってデータを保護しているため、安全に利用することが可能です。サイバー攻撃の手口は今後も複雑化していくと予想されますが、データのやり取りをする場合にはWPA2などの暗号化技術を使用したり、多要素認証を使用するなど、管理会社のセキュリティ体制も徐々に強化されています。
セキュリティ対策用の機器が必要ない
クラウドサービスを利用した場合は、自社でクラウドセキュリティに使用する機器を準備する必要がありません。オンプレミス型のセキュリティサービスの購入や設定に数千万円もの費用がかかっていたましたが、クラウドサービスの場合にはセキュリティ用の機器が不要になるため数万円ほどの費用でクラウドセキュリティの導入が可能になります。運用管理もサービス提供会社が行うことから、IT人材などのリソースにかけるコストも不要です。
また、クラウドセキュリティサービスの導入時にも、機器の購入や環境構築、アプリケーションの改修などが必要ありません。サービスを契約したあとすぐに安全性の高いセキュリティサービスが利用でき、導入までの期間を短期間に抑えられるメリットもあります。
クラウドサービスにおけるセキュリティリスク
クラウドサービスには安全性の高さが期待できますが、全くリスクがないというわけではありません。リスクを正しく理解しておくことで、より安全にクラウドを利用できます。ID流出、サイバー攻撃、サービス障害、関係者のセキュリティ意識など、想定されるセキュリティリスクについて解説します。
ID流出によるアカウントの悪用
クラウドサービスは、IDやパスワードでログインしてから使用します。IDやパスワードが外部に流出すると、そのアカウントを使って社外の人が企業の重要なデータにアクセスできてしまいます。
情報が外部に漏えいすると、顧客情報や未発表の商品情報など機密情報が盗まれて、企業イメージや信用性の低下、売り上げの減少などのリスクが生じるかもしれません。また、システムやデータの破壊などの被害が出るケースもあります。
自社で使用しているアカウントを悪用されないためには、ID・パスワードが漏えいしても不正なログインを防げる多要素認証などの対策を設けることが重要です。
サイバー攻撃による不正アクセス
犯罪者などによるサイバー攻撃は、全世界で発生し増加を続けています。サイバー攻撃には、コンピュータ内で増殖するマルウェアに感染させる「マルウェア攻撃」、想定されるIDやパスワードをすべて入力してログインしようとする「総当たり攻撃」、SQL文での不正な命令の実行によりデータベースシステムを操作する「SQLインジェクション」、Webサイトへの脆弱性を利用してユーザーの入力情報を盗む「XSS」などがあります。
サイバー攻撃によってシステムに不正アクセスされると、自社の重要なデータが盗まれたり、書き換えられたりする恐れがあります。なかにはシステムが破壊されるケースもあるため、ウイルス対策ソフトの導入など適切なセキュリティ対策を行わなければなりません。
サービス障害によるデータ消失
クラウドサービスに保管しているデータは、クラウド上で障害や不具合などが起きた場合に消失する恐れもあります。また、地震や台風など、自然災害によってデータセンターに被害が及ぶケースもあります。サービス提供会社がデータを復旧できる場合は問題ありませんが、データの復旧に失敗する場合もあるかもしれません。
データ消失のリスクを防ぐためには、導入するクラウドセキュリティのデータ管理、復旧の内容も確認してから決定するのがおすすめです。なかには、従業員による操作ミスなどによりトラブルが発生してデータが消失するケースもあります。操作をミスしにくいように、システムの操作性の高さも事前にチェックすることが大切です。
関係者によるセキュリティ意識
クラウドサービスには、IDやパスワードがわかれば誰でもログインしてアクセスできます。もし従業員が業務で使用しているIDやパスワードを適切に管理していない場合、パスワードが外部の人に流出し、不正に企業のシステムにアクセスされてしまうかもしれません。
また、社員やアルバイトの行動からセキュリティホールが発生する恐れも考えられます。例えば、電子メールの誤送信によって重要な情報が漏えいするリスクや、社外で使用するパソコンやタブレット、スマートフォンなどのデバイスにウイルス対策をしていなかったり、外出先で安全でない回線を利用しているなどのケースが挙げられます。
関係者が原因となるトラブルを避けるためには、適切なアクセス制限を設け、業務に関係のある部署や適切な役職者以外がアクセスできないようにすることが必要です。また、セキュリティ意識を高めるための教育を取り入れることも重要です。
クラウドセキュリティ対策4選
クラウドセキュリティ対策には、通信の暗号化、データのバックアップ、適切なアクセス管理、関係者へのセキュリティ教育などの四つの方法があります。必要なセキュリティ対策を実施することで、データやパスワードを保護して重要な情報を守ることが可能です。
1. 通信の暗号化
通信データの暗号化は、大事なデータを外部の人が見ても読めないように変化させて送る方法です。暗号化したデータは、鍵を使って暗号を解除しないと内容を確認できません。暗号化により、通信中に情報が漏れたり改ざんされたりするリスクを軽減できます。
暗号化には、主に「共通鍵暗号方式」と「公開鍵暗号方式」の2種類があります。「共通鍵暗号方式」は、送信者が共通鍵を使ってデータを暗号化し、受信者にデータと共通鍵を別々に送信、受信者が暗号化を共通鍵を使って解読する方法です。この方法は簡単に使用できますが、鍵の受け渡しに気をつけなければなりません。
「公開鍵暗号方式」は、受信者が秘密鍵から公開鍵を作成、送信者が公開鍵を受け取ってデータを暗号化し送信、受信者が秘密鍵で暗号を解読する、以上の方法でデータを安全に送信します。このふたつの暗号方式を組み合わせた「SSL暗号化通信」などの技術も広がっています。
2. こまめなデータのバックアップ
万が一データが消失した場合にもデータを復旧させられるように備えておく必要があります。こまめにバックアップをしておくと、バックアップデータを利用して、保存したときの状態までデータを復元できます。データベースのデータやファイルサーバの共有データなど、重要なデータは担当者が定期的にバックアップを行うことが大切です。
バックアップデータは、HDDなどのストレージ、別のシステム、クラウド上などに保存でき、クラウドにバックアップを取る場合にはほかの方法よりも時間がかからないメリットがあります。ユーザーのパソコンのバックアップを取る場合には、ドキュメントファイルだけでなく電子メール、パソコンの設定なども保存しておきます。突然のトラブルに備えるため、バックアップはこまめに保存することも重要です。
3. 適切なアクセス管理
クラウド上のデータは、アクセス権管理により、各ユーザーが必要なデータにだけアクセスできる権限を与えられます。たとえ従業員でも、関係のないすべてのデータにアクセスして閲覧、編集ができると、データの内部漏えいや改ざんなどにつながる恐れがあります。
役職や所属部署などに応じてアクセス権限を付与し、アクセス範囲に制限をかけることで重要なデータを保護することが可能です。社員の入社時、退職時、昇進、降格などで組織に変化があるときには、新しい体制に合わせてアクセス権限を変更する必要があります。退職した社員、休職中の社員など、しばらく使用しないアカウントをそのままにしていると、不正アクセスされるケースがあるため注意が必要です。普段使っていないアカウントのため、不正アクセスにも気づきにくく、大きなトラブルにつながる恐れもあります。使用していないアカウントは残さずに削除しましょう。
4. 関係者へのセキュリティ教育
クラウドを使用するときには、従業員全員が情報セキュリティへの理解を深める必要があります。システムの安全性を強化しても、使用する人のセキュリティに対する意識が低いと、使い方によりその効果が活かせなくなります。セキュリティ対策の意識を高めるためには、情報セキュリティ研修など、セキュリティ教育の実施が効果的です。研修でセキュリティを学ぶことにより、セキュリティ対策のために適切な行動が取れるようになります。
研修は、できる限りその効果が表れるものを選ぶことが大切です。社内の担当者が開催するか、外部の専門家に依頼するか、外部の公開講座に参加するかなど、研修方法は複数の方法から選択できます。現在では、eラーニングも人気の研修方法のひとつです。研修に使える予算や、時間的な負担、研修効果などを比較検討して、適した研修を開催します。
クラウドセキュリティ視点でのサービスの選び方
クラウドセキュリティを選ぶときには、セキュリティサービスに注目して選ぶことが大切です。クラウドセキュリティサービスはサービス提供会社によってその特徴が異なるため、必要な機能が使えるかどうかよく確認します。クラウドサービス向けの国際規格「ISO/IEC27017」のセキュリティ認証を取得しているサービス業者だと、安心して利用できます。
使用時の安全性を高めるには、ID・パスワードやワンタイムパスワードなどを設定した「不正アクセスの防止機能」、定期的に脆弱性のテストが行われる「セキュアなOSとアプリケーションの使用」、通信時の情報漏えいを防ぐ「通信の暗号化」、誰がいつデータにアクセスしたか確認できる「アクセスログの管理」、物理的なデータ保存の安全性が確保できる「データセンターの災害対策・侵入対策」などの機能が充実しているサービスがおすすめです。
【総務省】クラウドセキュリティガイドラインとは
「クラウドサービス提供における情報セキュリティ対策ガイドライン」とは、総務省が2014年4月に発表した、安全で安心なクラウドサービス利用の基本指針のことです。2018年7月にはIoTサービスに関するリスク対応について追記した第2版、2021年9月には第3版が発表されています。
これまでに世界中で大規模な情報漏えいが発生したことから、クラウドセキュリティの基準がガイドラインにより明確に設定されました。ガイドラインには、クラウドサービス提供会社が実施すべきセキュリティ対策が掲げられています。クラウドサービス利用者は、クラウドサービス提供会社を選ぶときの参考にでき、クラウドサービスを利用するときに注意すべきセキュリティ対策の指針としても活用できます。
政府が進めるクラウドサービス提供における情報セキュリティ対策ガイドラインを解説!
クラウド利用で知っておきたい「ゼロトラスト」とは?
「ゼロトラスト」とは、すべての通信を信用しないという考え方に基づいて、毎回安全性を確認するセキュリティ対策のことです。2010年にForrester Research社のジョン・キンダーバーグ氏が提唱した、サイバー攻撃への対策として基盤となる考え方です。
これまでは社外からの通信にだけ注意を払っていましたが、近年では「ゼロトラスト」により、社外、社内すべての通信にしっかりとセキュリティ対策を講じるべきとの考え方が広がっています。たとえば社外からのマルウェアの侵入を防ぐために注意をしていたとしても、社内の通信に気をつけていないとすでに社内に入り込んでしまったマルウェアに感染するリスクがあります。「ゼロトラスト」によってすべての通信に対して注意を促し、総合的に監視することで、近年複雑化するサイバー攻撃のリスクを抑えることも可能です。
まとめ
クラウドセキュリティとは、クラウドサービス利用時にサイバー攻撃や機器障害などのリスクからデータを保護することです。インターネット上で利用するクラウドサービスは、サービスの提供者によってネットワークやサーバーが管理・運用されているため、高いセキュリティにより安全性の高さが期待できます。
ただし、ID流出やサイバー攻撃、サービス障害などのセキュリティリスクはゼロではないため、サービス利用者側もリスクやセキュリティへの知識を持つことが重要です。基本指針となる「クラウドセキュリティガイドライン」を参考にしながら適切なセキュリティ対策をとることにより、クラウドサービスを安全に利用できます。
