現在クラウドサービスを活用されている、あるいはこれから導入することを検討している企業のご担当者の中には、「クラウドサービスは便利だけれど、セキュリティリスクが心配」とお考えの方も少なからずいらっしゃるのではないでしょうか。
クラウドサービスを活用する際には、確かにオンプレミス環境とは種類の異なるクラウドセキュリティについて理解しておくことが大切となります。
本記事ではクラウドサービスを利用する際のセキュリティリスクを始め、セキュリティ強化に役立つ様々な関連知識について紹介します。
クラウドサービスの特徴とは?
クラウドセキュリティのリスクを理解するにあたっては、まずはクラウドサービス自体の特徴を知っておく必要があります。
ここではクラウドサービスについて簡単な概要をお伝えしますので、必要に応じてリンク先からの関連記事などもご参考に、知識を深めていってください。
クラウドサービスは、端的にいうと「クラウド上で事業者から提供されるサービス全般」のことです。
以下、それぞれの項目に分けて解説します。
クラウドサービスのメリット
クラウドサービスは、事業者から提供される「クラウド上で常に動作しているサービス」へ手元のPCなどからアクセスし、その機能を利用する仕組みです。
そのため、インターネットへの接続環境さえ用意できれば、場所を問わずいつでもどこでも利用可能というメリットがあります。
また、自分の環境へ目的のアプリケーションをインストールする場合と比較して、あらかじめ提供されているサービスをすぐ利用開始できる仕組みであるため、導入が容易かつスピーディーです。
導入および運用にかかるコストについても、すべて自分で用意しメンテナンスも行う場合と比べ、安く抑えられます。
提供されているサービスの基盤部分の管理や保守は、すべてサービス提供事業者の管理の範ちゅうとなるため、社内による管理負担も小さくできるのです。
必要に応じてクラウドサービスの設定を自社の運用に合わせて変更したり、利用プランを切り替えたり、オプションサービスを使ってストレージ容量を拡張するなど、サービスの種類によっては柔軟なカスタマイズも可能です。
クラウドサービスの利便性については、こちらの記事で詳しく解説しています。ぜひご覧ください。
▼AWSとAzureを徹底比較! 特徴、メリット、選定基準を解説
クラウドサービスのデメリット
ニーズに合致すれば大変利便性の高いクラウドサービスですが、留意しておくべきデメリットもあります。
1つめは、クラウド型のサービスであるゆえに、接続環境の障害が発生するなどでインターネットを利用できなくなった場合、サービスへのアクセス自体が行えなくなるという点です。
クラウドサービスに限らず、現在のビジネスにおいては多くの業務がインターネット環境に紐づいて設計されています。このため、万が一、社内でインターネットが使えない場合の影響は広範にわたる可能性があり、そのひとつとして、クラウドサービスも使えなくなることに留意しておきましょう。
2つめとしては、クラウドサービスを使用できなくなる可能性がある点です。サービス提供事業者が運営し、提供しているサービスです。このため、万が一にも何らかの事情でサービスの提供自体が終了してしまった場合には、その後、一切のサービスを使用することが不可能になります。
いくら長年活用して使い慣れたクラウドサービス、社内で運用が浸透したシステムであっても、提供事業者の都合で使えなくなる可能性があることには注意しておきましょう。
さらに、システム運用におけるセキュリティ対策の面でも、基本的に対策内容は提供事業者任せとなってしまうため、たとえ自社内で統一されたセキュリティポリシーが存在する場合でも、クラウドサービス運用への完全な適用は難しい場合があるでしょう。
サービス事業者の選定の段階で、なるべく自社が求めるセキュリティ要件に合致する事業者・サービスを選んでおくことが重要です。
SaaS・PaaS・IaaS、それぞれのサービス事業者側と利用者側の運用範囲を把握しておこう
クラウドサービスには大きく分けて、SaaS・PaaS・IaaSの3つの種類があります。クラウドで提供されているサービスの細かな種類としては多種多様なものが存在しますが、そのいずれも、上記3つの種類に大別されます。
- SaaS(Software as a Service)
メールソフト、業務支援ソフトなどの個別アプリケーションがクラウドで提供される仕組み - PaaS(Platform as a Service)
開発環境やミドルウェアなどの開発プラットフォームがクラウドで提供される仕組み - IaaS(Infrastructure as a Service)
ソフトウェア上で構築された仮想サーバーや仮想ネットワークなどのITインフラがクラウドで提供される仕組み
上記でそれぞれ示している提供内容が、そのままクラウドサービス提供事業者側の管理範囲(サービス利用者は管理やメンテナンスを行わなくてよい部分)となります。
SaaS・PaaS・IaaSについてさらに詳しい記事をご用意しております。併せてご確認ください。
▼SaaS、クラウドとは? IaaS、PaaSとの違いやサービス、メリットを解説
▼PaaSの基本知識やメリットを解説|IaaS、SaaSとの違いも
▼IaaSのメリットとは? クラウドサービスの基本知識から注意点、メリットの生かし方まで解説
クラウドセキュリティとは何か?
ご紹介したようなクラウドサービス利用時において、クラウド環境特有のリスクに対し、セキュリティ対策することをクラウドセキュリティといいます。
昨今ではワークスタイルの多様化、リモートワーク浸透などでビジネスにおける様々な業務のクラウド化が進み、浸透しています。
そのため、クラウドサービスを活用する各企業においても、クラウド環境という状況に特化してセキュリティ対策を検討、実施していくことが重要です。
各サービスでは基盤部分のセキュリティは、基本的にサービス提供事業者側の範ちゅうとなるため、利用者側ができることはそう多くはありませんが、できることをしっかり行っておくことが大切です。
具体的には、サービス選定時のセキュリティ対策状況の精査、導入後はサービス側で用意されている設定内容を最適な状態へ調整しておく、また社内のクラウドサービス利用者全員へ、クラウド上で行ってもよい業務内容や格納してよいデータの種類といった、細かな運用方法に関する周知を徹底しておく、といったことが挙げられます。
クラウドセキュリティはオンプレミスと違う
クラウドサービスを利用した業務におけるセキュリティ対策(クラウドセキュリティ)と、オンプレミス(自社内で構築した環境)での業務におけるセキュリティ対策には様々な違いがあります。
まずは、以下の比較表で概要をまとめます。
| オンプレミスセキュリティ | クラウドセキュリティ | |
| セキュリティレベルの柔軟性 | 自社環境内ですべての設定を自在に行えるため、自社のセキュリティポリシーに準じた細かな設定が可能 | 提供事業者側のポリシーに基づいたセキュリティレベルが常に保持されている |
| データの物理的な格納場所 |
自社内サーバー |
提供事業者管理下のデータセンター |
| データのバックアップ手段 |
|
|
| 機能やデータへのアクセス方法 |
|
|
| 可用性・災害対策 |
|
|
上記でわかるように、一般的にサービス事業者側で実施されるクラウドセキュリティは、事業者側であらかじめ定められたポリシーに基づいて運用されるため、必ずしも自社が求めるセキュリティ要件に合致するとは限りません。従って、足りない部分は自社内の運用で実現できる対策を行っていくこととなります。
一方でオンプレミスにおけるセキュリティでは、要件定義から運用までをすべて自社で行うこととなるため、自社が求めるセキュリティレベルをそのまま実現可能です。ただし、監視や運用、必要な機器の導入などのコストが発生します。
社内業務で使用するデータの格納場所やバックアップについても、クラウドでは事業者があらかじめ用意した場所(主にデータセンター)へ格納し、バックアップは簡単に行えることが一般的です。しかし、自社の業種や取り扱うデータの種類によっては、あくまで「クラウド上の場所である」ことを意識した上で、運用ルールの策定を行っておく必要があるでしょう。
オンプレミスの場合には、データが取り扱われる場所をすべて社内環境で完結することも可能です。
また、システムの可用性の担保や災害対策についても、クラウドサービスの場合には提供事業者側のルールで運用され、オンプレミスの場合には自由自在に必要な分の運用設計を行えます。ただし、オンプレミスではシステムの二重化や災害対策に必要となる分だけ、機器の準備や保守管理のためのコストがかかります。
さらに詳しい記事もご用意しております。ぜひご確認ください。
▼オンプレミスとクラウドのセキュリティ対策を比較! メリットや違いを解説
クラウドで想定されるセキュリティリスク
ここまで解説した内容をもとに、クラウドサービス利用時のセキュリティリスクを具体的に解説します。
情報漏えいが発生するリスク
クラウドサービス上で利用、そして格納したデータについては、サービス事業者側のポリシーに基づいて、一定のクラウドセキュリティが講じられます。
また、事業者のサービスによっては、オプションサービスとして、セキュリティを高めたクラウド環境を利用できるケースもあり、自社のポリシーに合わせられるかもしれません。
ただし、いずれの場合でも、自社でクラウドセキュリティに関する細かな要件定義を行ったり、データセンター側のセキュリティ環境を増強したりといったことは難しくなっています。
そのため、情報漏えいのリスクを徹底的に抑えるためには、そもそもクラウド上で利用するデータの種類を限定するといった、運用面での対策が必要となるでしょう。
万が一にも情報漏えいが発生してしまった場合、企業の信用失墜や、漏えいしたデータの種類によっては、顧客や関係先へ多大な迷惑がかかる可能性があります。
データ消失が起こってしまうリスク
前項の比較表でご紹介したように、クラウドにおいてもデータバックアップは機能として実現されており、また別途、手動でクラウドからデータをダウンロードし複製しておくなどの方法で、データ消失のリスクを最小限に抑えることは可能です。
ただし、クラウドで格納されているデータが絶対に消失しないという保証は誰にもできないため、必要に応じて、自社のローカル環境へバックアップを保管しておくことが重要です。
万が一にも業務遂行に関わる重要なデータが消失したり、データの最新性が失われたりといった事態が起こってしまった場合には、取り返しのつかない状況となってしまいます。
サイバー攻撃を受けてしまうリスク
サイバー攻撃とは、標的型攻撃やバッファオーバーフロー攻撃、DDoS攻撃やマルウェアといった様々な手段で悪意をもって行われる攻撃です。
システムがサイバー攻撃を受けてしまった場合には、システム停止やデータ消失のリスクの他、格納していたデータの盗難・悪用といった企業に甚大な被害をもたらす結果ともなりかねません。
クラウド上のサービスは、サービスの性質上24時間365日、常にインターネットにつながっている環境で機能やデータを取り扱うことになります。この面では、攻撃者にとっては不正アクセスや攻撃を行う、格好の標的になりやすいともいえます。
それ故に各提供事業者側でも、各種サイバー攻撃に対する強固なクラウドセキュリティを講じているケースが一般的です。
サービスの選定前に、各事業者の公式サイトなどでクラウドセキュリティの対策状況を細かく確認しておくことが重要となるでしょう。
関連の記事をご用意しております。ぜひご覧ください。
▼マルウェアの被害を防ぐには? 対策方法と感染時の対処法を解説
▼DDoS攻撃を防御する対策方法を紹介! 目的や種類、DoS攻撃との違いも解説
シャドーITが社内で発生するリスク
「シャドーIT」とは、本来自社が業務で運用しているすべてのITシステム・サービスについて徹底的な把握や運用管理を行うべき情報システム部門などが、まったく関知しないところで導入されてしまったシステムやサービスのことを指します。
情シス部門にとってそれらのシステムはシャドー、つまり隠れて見えない部分となってしまい、本来行うべき運用管理の対象に入らないままとなってしまいます。
クラウドサービスにおいては、顧客対応部門などの従業員が情シスへ事前確認や相談を行わないまま、独自にクラウドサービスを導入してしまうケースなどがシャドーITとなってしまいます。
クラウドサービスではシステム側のクラウドセキュリティに関しては事業者側のルールで運用されてはいるものの、そこで取り扱うデータの種類や業務での運用方法については、やはり情シス部門の協力を得た上で策定していくべきです。
情シス部門の人材であれば、社内ですでに利用している他システムとの親和性なども踏まえた上で、具体的な助言を行うこともできます。
以上、様々な観点で説明したように、クラウドセキュリティにおいては、オンプレミス運用とは異なった考え方で、クラウドならではの様々なリスクの原因も踏まえたセキュリティ対策を講じる必要があります。
クラウドサービスを社内の基幹業務に活用することも一般的となっている現在においては、セキュリティもその状況に合わせた、クラウド利用を踏まえたセキュリティの導入が理想です。
テクバンの次世代セキュリティ対策「Cisco Umbrella 導入支援」はこちら
クラウドセキュリティリスクへの対策
クラウドセキュリティを考える場合、自社でできる運用方法の検討の他、利用するクラウドサービスが自社の求めるセキュリティ機能を有するサービスであるかについても、あらかじめ確認しておくことが重要です。
以下では、クラウドセキュリティにおいて重要となるいくつかのポイントを解説します。
情報を暗号化する
情報の暗号化とは、例えばサーバーと通信する、データを保存する場合などに、ファイルそのものを暗号化し、万が一、データの盗難があった場合にも第三者にはデータの中身を読み取ることができないようにする仕組みです。
データ保存時の暗号化については、クラウドサービス自体で仕組みが提供されているケースがある他、別途クラウド型のセキュリティサービスを併用することで実現できる場合もあります。
高度なユーザー認証を利用する
目的のサーバーへアクセスする際に、単に1対のIDとパスワードで認証を行うだけの方式では、セキュリィが強固であるとはいえません。パスワードリスト攻撃などのサイバー攻撃を受けてしまった場合に、大切なデータへたどり着かれてしまうリスクがあります。
多くのクラウドセキュリティにおいては、ID認証のみならず知識情報、所持情報、生体情報といった高度な情報を利用する多要素認証(MFA:Multi-Factor Authentication)を導入しています。
サービスによっては、いつも利用元となっている社内のIPアドレスからのアクセスであればID認証のみを求め、外部IPアドレスからのアクセスや多重ログインなど普段と異なる状況を検知した場合には、多要素認証を求めるなどといった対応が可能です。
利用するクラウドサービスの事業者がどのような認証方式を提供しているかについても、事前に確認しておきましょう。
定期的にデータのバックアップを行う
データの消失や、万が一にも悪意のあるデータ改ざんなどの被害を受けてしまった場合にも、常にデータのバックアップを取ってあれば、被害を最小限に抑えることができます。
前述したようなクラウドサービス側のバックアップの仕組みの他、自社のローカル環境にバックアップを取っておく、さらにバックアップ環境も二重化しておくなどの対策が有効です。
IPアドレス制限などで管理外の端末からのアクセスを防止する
あらかじめ社内での運用ルール徹底が必要となりますが、クラウドサービスへアクセスできるIPアドレスの範囲を制限しておくというのも有効なクラウドセキュリティです。
クラウドサービス自体にそういった設定が可能な場合も多い他、クラウド型のセキュリティツールを併用することでも実現可能です。
クラウドサービス事業者選定時に、セキュリティ対策が万全な事業者を選ぶ
ここまで何度か述べましたが、クラウドサービスを利用する上では、サービス事業者のクラウドセキュリティ対策を事前にしっかりと精査しておくことが重要です。
クラウドサービスは提供事業者ごとに様々なサービス内容の違い、料金の違いなどがありますが、クラウドサービスの利用には、クラウドセキュリティのレベルが何よりも優先される事項として留意しておくようにしましょう。
さらにクラウドセキュリティに役立つ記事をご用意しております。ぜひご確認ください。
▼おすすめクラウドセキュリティ製品10選を徹底比較! 自社のメールやストレージを守るために必要な機能とは?
クラウドセキュリティで重要な知識
「クラウドセキュリティリスクへの対策」の項でも解説したように、ファイル暗号化や多要素認証の仕組みは、クラウドサービス利用にあたって把握しておいたほうがよい知識です。
ここではごく簡単にご紹介しますが、知識を深めたい場合には、下記の資料もご用意しております。ぜひお役立てください。
増え続けるクラウドサービスと社内システムの高度なログイン管理を実現!
ファイル暗号化
ファイル暗号化の主な方式には、共通鍵暗号方式、公開鍵暗号方式、ハイブリッド暗号方式があります。
- 共通鍵暗号方式
ファイル送信時に「共通鍵」を使って暗号化し、受信者も同じ「共通鍵」を使って複号する - 公開鍵暗号方式
あらかじめ受信者側がワンセットの「公開鍵」と「秘密鍵」を生成し、「公開鍵」のみを送信者へ共有する。送信者は共有された「公開鍵」でファイルを暗号化した上で送信。受信者は「秘密鍵」を使ってファイルを複号する(秘密鍵でしかファイルの複合化は行えない) - ハイブリッド暗号方式
暗号化・復号には「共通鍵暗号方式」を用い、共通鍵の受け渡し自体を「公開鍵暗号方式」で行う
多要素認証
多要素認証として活用される主な情報には、知識情報、所持情報、生体情報があります。
- 知識情報
パスワードやPINコード、「秘密の質問への回答内容」など - 所持情報
ID保有者が所持している携帯電話の番号、ICカードやハードウェアで発行されるトークンなど - 生体情報
指紋、声紋、静脈など
クラウドセキュリティガイドラインをチェック
クラウドセキュリティの検討においては、総務省が公開しているガイドラインも参考になります。
下記のガイドラインでは、クラウドサービスの3形態(SaaS、PaaS、IaaS)ごとの管理責任の違いや、セキュリティに組織的に取り組む際の策定フロー、配備すべき担当者などの詳細を確認できます。
総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン」
また、IPA(情報処理推進機構)でも下記のセキュリティガイドラインを公開しています。セキュリティ体制の強化にお役立てください。
中小企業の情報セキュリティ対策ガイドライン
どんなセキュリティ対策を講じるべきかお悩みでしたら、ぜひ一度テクバンへご相談ください。
テクバンにクラウドセキュリティについて相談する
クラウドセキュリティ対策はテクバンへ
テクバンでは、クラウド・オンプレミスの両環境での認証情報管理や統合的なシングルサインオン認証を実現する「Extic」や「Okta クラウド型ID管理・ 統合認証サービス」を始め、クラウドセキュリティの課題を解決する様々な製品、および導入支援ソリューションを提供しております。
クラウドセキュリティリスクに関する相談や疑問点、課題などをお持ちなら、ぜひテクバンへお声がけください。
セキュリティソリューションに関する記事もご用意しております。ぜひご参考にしてください。
▼Zscaler とは? クラウド時代に必須のセキュリティ対策とゼロトラストの関係を解説
VPNに頼らず安全な通信を実現できるソリューションの導入支援を行っております。ご興味がお持ちでしたら、ぜひご確認ください。
iboss クラウドプラットフォーム導入支援サービス
その他にも様々なクラウドセキュリティサービスの導入支援を行っております。
テクバンのセキュリティソリューション一覧
クラウド特有のセキュリティリスク対策を
企業の規模や業種を問わず、クラウドサービスを自社業務の一環として活用することが当たり前となった現代だからこそ、クラウドサービスは悪意ある第三者からも標的になりやすい一面があるといえます。
便利なクラウドサービスを安心して自社業務に活用するためにも、ぜひ適切なクラウドセキュリティを実現してください。
セキュリティの構築やクラウドサービスの導入に課題を感じられた場合にはぜひ、お気軽にテクバンへご相談ください。様々なソリューション、関連資料やセミナーをご用意しております。ぜひご確認ください。
テクバンの次世代セキュリティ対策とは?
