クラウド環境を利用する際には、保管しているデータ(情報)を様々なリスクから守るセキュリティ対策が必要です。
ここではクラウドサービス利用時の3つのリスクと企業が取るべき7つの対策、さらにサービス事業者の選び方を分かりやすく解説しています。
目次
クラウドセキュリティとは
クラウドセキュリティとは、クラウドコンピューティングに関わるインフラストラクチャーやアプリケーション、データを保護するための対策全般のことです。
特に重要なのは情報セキュリティ対策で、企業にはクラウド上に保管されているデータ(情報)の漏えいや消失、改ざんなどを防ぐことが求められます。
クラウド利用における3つのセキュリティリスク
クラウド利用における情報セキュリティリスクとしては、主に以下の3つが挙げられます。
| リスク | 原因 |
|---|---|
| 情報漏えい | 人為的ミス、情報の盗み見(ショルダーハック)、 通信の盗聴、不正アクセスを含むサイバー攻撃など |
| アクセス不可 ・データ消失 | 自然災害、サーバーの障害、人為的ミス、 不正アクセスを含むサイバー攻撃など |
| データ改ざん | 人為的ミス、不正アクセスを含むサイバー攻撃など |
クラウドサービスはインターネット経由で利用するものなので、通信の盗聴やサイバー攻撃に充分な注意が必要です。
また、社員のセキュリティリテラシーも上記リスクに大きく影響します。クラウド化では場所や時間に縛られない労働環境を実現できる一方、フリーWi-FiやシャドーIT※の利用が原因で情報漏えいなどが起こるケースも少なくありません。
※シャドーIT:企業などからの許可を得ず、従業員が独自に導入したIT聞きやクラウドサービスなどのこと
リスク①情報漏えい
クラウドサービスを利用している場合、社内ユーザーの人為的ミスや情報の盗み見に限らず、通信の盗聴や不正アクセスなどから情報漏えいが発生するリスクがあります。
顧客情報などの機密データが外部に漏えいすれば、刑事罰や損害賠償が生じるだけでなく、企業イメージの失墜といった被害も想定されます。そのため通信の暗号化や各種セキュリティソフトの導入、アクセス制限などの対策が必要です。
リスク②アクセス不可・データ消失
自然災害や運用ミス、攻撃などでサーバーがダウンすると、クラウドに保存したデータへのアクセスができなくなります。こうした事態により社内業務が停止すれば、企業によっては大損害に繋がります。
さらにクラウドサービスを提供するベンダー側の障害や運営ミス、社員の人為的ミス、サーバー攻撃などによって重要データが消失するケースもゼロではありません。
こうしたリスクに備えるため、企業にはデータセンターの位置やセキュリティ及びバックアップ環境を踏まえた事業者の選定、データのバックアップといった対策が求められます。
リスク③データ改ざん
不正アクセスによる被害では、運用するウェブページの改ざんも多いです。改ざんされれば修復に時間がかかるだけでなく、企業イメージの失墜などにも繋がります。また不正アクセスを防ぐだけでなく、人為的ミスによる改ざんを防ぐ必要もあります。
クラウドにおけるリスクを見て、「やはりオンプレミスの方が安心では」と考える人もいるでしょう。しかし最近は、クラウドサービスの方が高いセキュリティレベルを実現できる場合も多いです。
大手クラウドサービスのデータセンターは、一般に大規模災害に強い場所に建てられています。そのため万が一の事態においても、事業の継続や早期復旧を期待できます。また24時間365日の監視体制で、不審者の侵入対策や異常検知を行っている事業者も多いです。
サイバー攻撃などに対しても、各事業者では専門家が日々対策に尽力しています。ただし実際のセキュリティレベルはサービスごとに異なるので、クラウド化を進める際は事業者のセキュリティ体制をよく確認しましょう。
【初心者向け】クラウド化とは?押さえておくべきメリット・デメリットと進め方
自社内に設定していたサーバーやソフトウェアを外部のクラウドサービスへ移行する「クラウド化」。今後もクラウド化は進むと予想されますが、問題点や課題もゼロではありません。クラウド化のメリット・デメリットや事例、そして社内でのクラウド化の進め方を分かりやすく解説します。 クラウド化とは ITの世界での「クラウド」とはサービス形態の一種で、サービスが「インターネット経由で利用できること」を指します。そして…
クラウドのセキュリティレベルを高める7つの対策
情報漏えいやデータの消失、改ざんのリスクを下げるには「第三者にデータへのアクセスをさせない」「データを消失させない(万が一消失しても復旧できる)」ことが重要です。
ここでは、クラウドのセキュリティ強化に向けて企業が取るべき対策をご紹介します。
対策①通信データの暗号化
クラウドへアクセスするためには、一般にインターネット回線を利用します。そのため通信データを暗号化せず送受信すれば、通信経路上で盗聴や改ざんの被害に遭うリスクが高まります。外部に公開して良いデータ以外は、暗号化しましょう。
インターネットを介さないプライベートクラウドにおいても、暗号化をお勧めします。これにより社内でのデータ盗聴・改ざんのリスクを低減できるからです。
【関連記事】暗号化で使われるSSL/TLSとは?図入りで仕組みを分かりやすく説明
対策②セキュリティ対策ソフトや脆弱性診断の活用
近年はSQLインジェクションやセッションハイジャックといった、アプリケーションやOSの脆弱性を狙った攻撃が多く発生しています。クラウドやネットワーク等のセキュリティが強固でも、利用しているアプリケーションに脆弱性があれば攻撃を避けられません。
これらの攻撃のリスクを回避するために、WAFなどのセキュリティ対策ソフトの導入や、定期的な脆弱性診断の利用といった対策を行いましょう。
【関連記事】Webアプリケーションを守るWAFとは?どんな攻撃を防げる?
対策③情報資産の重要度の分類
クラウドから情報資産が漏えいする大きな原因の一つに、「管理体制の不充分さ」が挙げられます。
情報資産の適切な管理にあたっては、まず資産の重要度を「機密情報」「社外秘情報」「公開情報」のように分類することから始めましょう。例えば顧客情報は、公式ウェブサイトで公開している情報などと比べて厳重な管理が必要です。
情報資産の重要度を分類したら、それぞれの重要度に見合った形でアクセス権限を設定します。その上で「誰が・何を・どこまで管理するか」を決めましょう。これは情報セキュリティを管理するにあたって最も重要なポイントです。
対策④アクセス制御の強化
各システム・サービスに対して全ての社員が、同じ権限でアクセスできる必要はありません。必要がないのに全員が同じ権限を有していれば、その分セキュリティリスクは高くなります。
情報管理においては、部門や役職に応じたシステムなどの利用状況を把握し、それぞれ必要な社員にだけアクセス権限を設定しましょう。また権限のない社員や悪意ある第三者による不正アクセスを防ぐため、パスワードの設定や多要素認証の導入なども検討してください。
対策⑤データのバックアップ
クラウドサービスの停止やデータ消失が起こった場合のために、データのバックアップは必ず用意しておきましょう。
特に海外のデータセンターを利用する場合は、その国の政府機関による検閲が入ることもあります。こうしたケースではサーバーごと押収される可能性もあるので、バックアップの用意が欠かせません。また、検閲や押収に備えたデータ暗号化などの対策もお勧めします。
現在はバックアップ機能のついたクラウドサービスが一般的ですが、サービスの細かな内容は事業者ごとに異なります。バックアップの日時設定や周期も検討しましょう。
対策⑥社員教育
冒頭でご紹介したように、クラウドサービスの利用では社員一人ひとりのデータ管理意識が重要です。特に現在は「フリーWi-Fiを無意識に使っている」といったケースも少なくありません。
以下のような基本事項を徹底するとともに、操作ミスが起こらないよう手順書の作成なども行うと良いでしょう。
- 修正プログラムは速やかに更新する
- 安易なパスワードを設定しない
- 離席の際は画面ロックをかける
- シャドーITを利用しない
- フリーWi-Fiを利用しない
対策⑦適切な事業者の選定
近年はクラウドサービスでもセキュリティレベルが大幅に向上していますが、その質は事業者によって異なります。選定にあたっては、利用料金だけでなくサービス内容にも着目しましょう。
なお、サービス事業者の選び方のポイントは次の章で詳しくご紹介しています。
ゼロトラストとは「トラスト(信頼)がゼロ」、つまり「一切を信頼しない」前提で対策を行うセキュリティの考え方です。
オンプレミスが主流だった頃は、「守るべき情報資産は社内にある」「情報へのアクセスは基本的に社内から」「脅威は社外にのみ存在する」という前提でセキュリティ対策が行われていました。しかし現在はクラウドサービスが普及し、上記の前提条件が覆されています。
こうした中で生まれたのが「ゼロトラスト」の考え方です。ゼロトラストでは、誰が・どこから・どんな情報資産にアクセスをした場合も安全性を検証し、監視を行います。
ゼロトラストの実現要件などについては、以下の記事で詳しく解説しています。
ゼロトラストとは?言葉の意味や従来型との違いをわかりやすく解説
ゼロトラストとは「一切を信頼しない」という前提に立ったセキュリティの考え方です。「社内は安全」と捉えていた従来のセキュリティとは異なり、社内ネットワークや社員からのアクセスも含めて安全性を検証するのが特徴です。ゼロトラストの具体的な意味と仕組み、メリットとデメリット、従来との違いを初心者にも分かりやすく解説します。 ゼロトラストとは ゼロトラストとは「トラスト(信頼)がゼロ」、つまり「一切を信頼し…
クラウドサービス事業者の選び方
クラウドサービスの事業者を選ぶ際には、以下の9つのポイントをチェックしましょう。
- データセンターの物理的なセキュリティレベル(災害対策、侵入対策など)
- データのバックアップ機能の有無
- ハードウェア機器の障害対策
- ホスト側のOSやソフトウェア、アプリケーションの脆弱性対策
- 不正アクセスを防止するための対策
- アクセスログの管理機能の有無
- 通信の暗号化機能の有無
- 24時間365日の監視・サポート体制
- クラウドサービスのセキュリティ認証の有無
1~7つ目までのポイントは、総務省がクラウドサービスの選定基準として掲げている情報セキュリティ対策の項目です。サービス選定では、これらの対策を継続的に行っている事業者を選びましょう。
また、万が一の際に24時間365日体制でシステム復旧などに対応してくれること、さらに第三者機関からセキュリティ認証を受けていることも見極めの重要なポイントです。
※参考:総務省「クラウドサービスを利用する際の情報セキュリティ対策」
クラウドサービスのセキュリティ認証とは?
クラウドサービスのセキュリティ認証とは、情報セキュリティ管理が適切に行われていることを第三者機関が証明するものです。「クラウド認証」と呼ばれることもあります。
以下に代表的な認証制度の情報をまとめましたので、参考にしてください。
| 認証の種類 | 対象 地域 | 取得 難易度 | 概要 |
|---|---|---|---|
| ISMSクラウド セキュリティ認証 (ISO/IEC27001 ISO/IEC27017) | 全世界 | 易 | ・ISO(国際標準化機構)が発行 ・ISO/IEC27001は情報セキュリティマネジメントシステム(ISMS)に関する規格 ・ISO/IEC27017はクラウドセキュリティに関する規格(ISO/IEC27001のアドオン規格) ・認定後はサーベイランス審査(毎年)と3更新審査(3年に一度)を受ける |
| CSマーク | 日本 | 易 | ・JASA(特定非営利活動法人日本セキュリティ検査協会)が発行 ・認証段階はゴールド(第三者認証)とシルバー(自主監査)の2段階 ・マークの使用許諾期間は自主監査の報告日から3年6ヶ月 |
| CSA STAR認証 | 全世界 | 易 | ・アメリカの業界団体「Cloud Security Alliance」が発行 ・ISO/IEC27001のアドオン規格 ・Level1(自己認証)/Level2(第三者評価)/Level3(継続認証)の3種類がある |
| StarAudit Certification | 全世界 | 中 | ・欧州の業界団体「EuroCloud Europe」が発行 ・クラウドセキュリティに関わる6つの領域について、星3~5つで評価 ・部分的な認証を受けることも可能 |
| FedRAMP | 米国 | 難 | ・アメリカ政府が採用するクラウドサービスのセキュリティ基準 ・事業者がアメリカの政府機関にサービスを提供するために必要 ・認証を受ければ多くの政府機関でサービスを提供できるが、取得難易度は高い |
| SOC2 (SOC2+) | 全世界 | 難 | ・米国公認会計士協会が開発 ・サイバーセキュリティに関する内部統制保証報告の枠組み ・企業が監査を受けたいサービスやシステムを対象に評価を行う |
移行中や移行後に問題が発生することも
現在はオンプレミス以上のセキュリティ品質を誇るクラウドサービスも多いですが、移行作業の手違いなどで情報漏えいが発生する場合もあります。
また移行時にはサーバーやネットワーク、データベースなど多くのものが変更されます。移行してみたら「最終的な費用が高かった」「既存のシステムと相性が悪かった」といったケースもゼロではありません。
こうした事態を防ぐためにも、クラウド移行ではサービス事業者とともに移行手順を詳細まで検討し、移行中や移行直後の問題に対応できる体制を整えておきましょう。
以下の記事では、クラウド移行にあたっての課題と解決策の事例をご紹介しています。
【事例で学ぶ】 クラウドへの移行を低コスト・確実・安全に実施する方法!
利用中のサーバーなどシステムの設置場所やその管理方法を変更する際、想像以上に負担がかかります。例えば、自組織で開発したソフトウェアを利用して商売をしている場合です。十分なセキュリティを維持する方法や、ソフトウェアのライセンスを適正に移行する方法など不明な点も多いのではないでしょうか。本記事では、それらの課題の整理と解消事例を紹介しています。 「自社サービスをクラウドで提供できるようにしてほしい」と…
まとめ
今や約7割の企業が利用していると言われるクラウドサービス。導入すれば社員に柔軟な労働環境を提供できたり、運用管理の負担を減らせたりと便利です。また最近のクラウドサービスは、セキュリティ品質も高くなっています。
ただし、サービス利用にあたって必要なセキュリティ対策を講じなければ、情報漏えいなどにより甚大な被害を受けるリスクが高まります。サービス事業者と対話を重ねながら対策に取り組み、万全の状態でクラウドサービスを利用しましょう。
KAGOYA FLEX
カゴヤ・ジャパンは、自社国内データセンターを基盤に、月額4,400円の低価格からクラウド導入を強力サポート。
VMware ベースの仮想サーバーと物理サーバーの組み合わせで最適なコストバランスをご提案いたします。
回線引き込みや、ライセンスの持ち込みなど柔軟な対応も可能です。
