クラウドサービスを業務に導入したいけれど、「セキュリティに不安があるのでは?」と迷っている企業は多いのではないでしょうか。「クラウドはオンプレミスよりもセキュリティが弱い」というイメージはまだ残っています。しかし、最近のクラウドサービスは、セキュリティの面でも大きく進化しているのです。クラウドのセキュリティについて、考えられる不安とその対策について説明します。
クラウドはセキュリティリスクが高いのか
クラウドの業務利用が増えるにともなって、「クラウドセキュリティ」を気にする企業や情報システム担当者が増えてきています。クラウドセキュリティとは、オンプレミス環境にはない、クラウド環境に由来するリスクに対するセキュリティという意味です。クラウドコンピューティングの環境そのものや、クラウド上で実行されるアプリケーション、そこに保存されているデータを保護することを指します。
テレワークが普及して、業務システムをパブリッククラウドで運用したり、インターネット経由で社内ネットワークに接続したりする機会が増えました。そのため、一般社員にも「安全性の高い利用方法」を伝えなければなりません。
パブリッククラウドには「ハッキングや情報漏洩などの危険性が高い」というイメージがありますが、本当はどうなのでしょうか?
オンプレミス型の安全性のイメージ
これまで主流だったオンプレミス型の業務システムは、クローズドな社内ネットワークの内側で運用します。外部と接続しないため、攻撃を受けたり、不正アクセスや情報漏洩が起こったりするリスクは少ないと考えられています。社内ネットワークなら、自社の「情報セキュリティポリシー」に合わせた運用も可能です。
クラウド型の危険性のイメージ
クラウドには、「プライベートクラウド」、「パブリッククラウド」、「ハイブリッドクラウド」の 3 種類があります。業務に利用されることが多く、セキュリティが不安視されやすいのは、パブリッククラウドまたはハイブリッドクラウドです。インターネット経由での利用が前提になるため、ハッキングされやすいというイメージがあるためです。
クラウドサービスでは、セキュリティ対策の多くをベンダーに任せることになるため、「どのようなセキュリティ対策が行われているのか見えにくい」、「自分で設定できない」という不安も残ります。その結果、「クラウドの安全性は不安だ」というイメージが強くなっているのです。
| ネットワーク | データ | 運用 | |
|---|---|---|---|
| オンプレミス | クローズド | 自社サーバに保管 | 自社 |
| クラウドサービス | インターネット経由 | クラウド上に保管 | ベンダーと自社 |
クラウド型にはどういうリスクや課題があるのか
クラウド型には、次のようなリスクや課題があります。
- 不正アクセス、不正ログイン
インターネット経由で社員ではない第三者に不正アクセスされるのではないか?
ウィルスやマルウェアを利用して不正アクセスされるのではないか? - データ保全
障害やトラブルによるサービス停止が原因でデータにアクセスできなくなる
サービスを停止している間にデータが喪失するのではないか? - 運用管理
クローズドなオンプレミス環境に慣れたユーザーにとっては、インターネット経由でアクセスできるクラウドサービスそのものがハイリスクな状態と感じられる
クラウドではどのようなセキュリティ対策を行っているのか
クラウドサービスのベンダーは、さまざまなセキュリティ対策を行っています。そのため現在では、「オンプレミスに比べてクラウドは安全性が低い」とは言いきれません。信頼できるベンダーを選べば、安心して利用できるでしょう。
クラウドセキュリティについてのガイドライン
クラウドサービスを利用するためのガイドラインには、次の 2 つがあります。
- 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン」
クラウドサービスのベンダーに向けて、リスクを整理し、どのような対策を行うかを示したガイドラインです。
クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)|総務省 - 経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」(通称:クラウドセキュリティガイドライン)
クラウドサービスを利用するユーザーが、クラウドサービスを選定したり、利用したりするときに理解しておくべきガイドラインです。
クラウドサービス利用のための情報セキュリティマネジメントガイドライン 2013年版|経済産業省
ユーザーとしては、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を一読しておく必要があります。クラウドサービスのベンダーを選定するときには、「クラウドサービス提供における情報セキュリティ対策ガイドライン」を確認するとよいでしょう。
クラウドのベンダーによる安全性対策
クラウドサービスでは、次のようなセキュリティ対策をとっています。
- 個人情報や通信の暗号化オプションの設定
- 提供しているアプリケーションの脆弱性対策によるセキュリティ向上
- オートスケーリングや冗長化、アクセス制御によるDDoS対策
- 特定のIPアドレスからのアクセス制限や対策ツールによる不審なアクセスの遮断
- データセンターの物理的な障害対策
- ログの取得による速やかな状況把握と原状回復の準備
ユーザーに求められる安全性対策
クラウドサービスのリスクには、ユーザーの操作ミスや設定ミスに起因するものもあります。クラウドサービスを安全に利用するために、次のようなポイントに気をつけましょう。
- パスワードの管理、二段階認証の導入、ワンタイムパスワードの設定などによる認証の厳格化
- 強固な認証やログインロック設定によるブルートフォースアタック(総当り攻撃)対策
- 導入しているアプリケーションや自社開発アプリケーションの脆弱性対策
- ウィルス対策ソフトウェアの利用によるマルウェアの侵入防止
- アクセス権限管理の厳格化、退職者のIDスの整理による情報漏洩の防止
- 通信データの暗号化、暗号化キーの適切な管理
- 安全な接続方式の利用
- 定期的なデータのバックアップ
- メールフィルターの設定による不正アクセス防止
- パソコン以外のデバイスのセキュリティ対策
安全な認証方式については、次の記事も参考にしてください。
二要素認証とは?二段階認証よりも強力、安全性の高いサービスに|CTCエスピー
クラウドセキュリティの面からクラウドサービスを選ぶときのポイント
クラウドセキュリティガイドラインには、クラウドサービスを選定するときに役立つポイントも説明されています。選定のポイントとしては、一般的に次のような項目がありますが、すべての項目を高いレベルで満たしている必要はありません。自社の利用目的に合わせて、必要な基準を満たしているサービスを選びましょう。
- クラウドの利用目的は?
まず、「クラウドサービスを導入する目的」を明確にします。そこから必要なスペック、機能、保存するデータの種類を導き出し、必要なセキュリティレベルや対策の内容を決定します。 - データセンターの情報セキュリティ対策は?
ハードウェアや立地などに対して、「物理的なセキュリティはどうなっているのか」を確認します。インフラやハードウェア機器の障害対策などがポイントです。 - ソフトウェアの情報セキュリティ対策は?
ホスト側のOS、ソフトウェア、アプリケーションの脆弱性対策などを確認します。アクセスログや操作ログを取得し、トラブル時にどう備えているかも確認しましょう。 - 通信の暗号化は行われているか?
「通信の暗号化オプションはあるか」、「どのように設定するのか」、「ログイン情報は暗号化されているか」などを確認します。クラウドサービスのWeb サイトが「SSL化されているか」も重要です。 - ユーザーのセキュリティ対策をサポートしているか?
ユーザーが行うセキュリティ対策について、「設定はしやすいか」、「サービス側はどのようなサポートを行ってくれるか」を確認します。ユーザーが行うセキュリティ対策とは、データの管理やバックアップ、不正アクセスの防止、アクセス管理などです。 - 適切な情報公開を行っているか?
クラウドサービスが「セキュリティに関する情報を公開しているか」も重要です。どのようなセキュリティ対策を行っているのか、トラブルにはどう対応するのか、自社とユーザーの責任範囲はどこまでか、などの情報を確認します。
これらの情報は、クラウドサービスの公式サイトや利用規約で確認できます。
必ず無料利用期間を利用して試用する
多くのクラウドサービスには、数週間のトライアル期間が用意されています。実際に契約する前に、一度使ってみてから決めると安心です。
まとめ:「クラウドだからセキュリティが不安」というのは間違い
現在は、クラウドサービスでも多くのセキュリティ対策が施されています。「クラウドだからオンプレミスより危険性が高い」とは断言できません。安全性という面では、同レベルであると言ってもよいでしょう。
ただし、ユーザー側もクラウドサービスのセキュリティ対策を理解し、正しく使用しなければなりません。施されているセキュリティ対策をユーザー側が活用できていなければ、危険性が高まってしまいます。
安全にクラウドサービスを利用したいときは、「セキュリティに関するソリューションを利用する」という方法もあります。CTCエスピー株式会社では、クラウドサービスの業務利用に関するさまざまなネットワークソリューションを提供しています。クラウドサービスに不安がある場合は、ぜひご相談ください。
