企業におけるクラウドサービスの導入は、年々増加傾向にあります。クラウドサービスは、導入・運用コストの削減や情報共有がスムーズなど、様々なメリットや効果が期待できます。
しかし一方で、クラウドの利用はセキュリティ面が不安という理由で、現在でも導入していない企業もあります。
本記事では、クラウドサービスの利用は本当にセキュリティリスクが高いのか、クラウドに移行する際に注意したいリスクとその対策方法などを解説します。
クラウドサービスはセキュリティが不安?
経済産業省がDX(デジタルトランスフォーメーション)を推進していることや、リモートワークの増加などの働き方の変化によって、クラウドサービスを利用する企業が増えています。しかし、クラウドのセキュリティに不安を感じて、導入に踏み出せない企業も多いようです。
総務省が発表した「令和4年通信利用動向調査の結果」(※1)に記載の「クラウドサービスの利用状況(企業)」によると、クラウドサービスを利用している企業は2022年で72.2%と、2021年の70.4%に比べ増加しており、今後も増加が予測されます。
一方で、同様に総務省発表の「令和2年版 情報通信白書」(※2)に記載の「ICTサービスの利用動向」では、クラウドサービスを利用しない理由として「情報漏洩などセキュリティに不安がある」と回答した割合が31.8%と報告されています。クラウドサービス未導入企業の約3割がセキュリティに不安を感じていることがわかりました。
クラウドでは、。
オンプレミスは、社内ネットワークや自社サーバーなどを自社で管理できる環境のため、安心して利用できるイメージがあります。
ところが、クラウドでは基本的にサービスのベンダー(提供事業者)がサーバーやデータを管理するため、セキュリティ対策の詳細がユーザー側に見えにくいことから、クラウド未導入の企業は不安を感じていると考えられます。
※1 出典:総務省「令和4年通信利用動向調査の結果」
※2 出典:総務省「令和2年版 情報通信白書」
クラウドとオンプレミスのセキュリティの違い
クラウドとオンプレミスではセキュリティ面でどのような違いがあるのか、一覧表で比較してみましょう。
| クラウド | オンプレミス | |
| データの保管場所 | クラウドベンダーが運用するデータセンター | 自社内のデータセンター、または自社が所有するデータセンター |
| セキュリティレベル | 常にクラウドベンダーがアップデートを行い、一定の水準以上のセキュリティが担保される | 自社のセキュリティポリシーに合わせた設定が可能 |
| バックアップ |
|
|
| システム | インターネット回線を介してデータの送受信を行うため、ある程度のセキュリティリスクがある | ローカル環境で安全にシステム構築ができる |
| コスト | 基本的に初期費用はかからない | 初期費用と拡張時の費用がかかる |
クラウドとオンプレミスは、それぞれメリットとデメリットがあるため、クラウドの方がセキュリティリスクが低いということはありません。世界中で利用されているクラウドサービスの多くは、高いセキュリティレベルを担保できる対策がなされています。自社のセキュリティポリシーや運用に合った方法を選択するとよいでしょう。
クラウドサービスで注意したいセキュリティリスク
社内の情報システムをクラウド化するにあたって、セキュリティ面の不安は取り除いておきたいものです。クラウドサービスを利用する上で、注意したいポイントをご紹介します。
不正アクセス
不正アクセスは、クラウドとオンプレミス、どちらを利用する場合でも重大なセキュリティリスクです。
ただし、インターネット回線があれば、社内・社外問わずどこでもアクセス可能となるクラウドサービスの場合は、特に注意が必要です。
IDやパスワードの管理を適切に行っているつもりでも、社内ネットワーク外の第三者から不正にアクセスされる可能性があります。例えば、ウイルスやマルウェアに感染した場合、悪意のある第三者にIDやパスワードが知られ、簡単にネットワークにアクセスされてしまうのです。
不正アクセスの影響は深刻で、機密情報の流出やネットワークへの攻撃、Webサイトの改ざんなどの事態が起こり得ます。
情報漏えい
クラウドサービスでは、ネットワークで情報のやり取りをするため、些細な人的ミスや設定ミスでも、情報漏えいが発生するリスクがあります。社外秘の重要情報や個人情報などが流出すると、企業は顧客や社会からの信頼を失い、大きな損失を被ります。
さらに、漏えいした顧客情報を悪用して、アカウントの乗っ取りやクレジットカードの不正利用などが行われた場合、企業は損害賠償責任を負う可能性が高くなるのです。
データ消失
クラウドサービスでは、重要なデータが様々な要因で消失することがあります。クラウドサービスにおいて、データを保管するサーバーはベンダーが管理しています。ベンダーでは高い技術力でサーバーを管理していますが、自然災害や設定ミスによってデータが消失してしまう可能性はゼロではありません。
データが消失してしまうと、業務に支障を来たし、復旧までに時間がかかる場合があります。
サイバー攻撃
企業のITインフラを狙うランサムウェアといったサイバー攻撃は増加傾向にあり、手口も巧妙化しているため、懸念すべき大きなセキュリティ課題です。
攻撃に遭うと、社内ネットワークがダウンしたり、データが破壊されたりといった大きな被害を受けます。大手クラウドサービスを利用したサイバー攻撃も激増しているため、細心の注意が必要です。
クラウドサービスの利用者側ができるセキュリティ対策
クラウドサービスの利用は、様々なメリットがありますが、一定のリスクがあるのも事実です。
しかし、サービスに関する理解を深め、適切な対策をとることでリスクは大幅に減らせます。
そこで、クラウドサービスに対する不安が払拭できるよう、利用者側でできるセキュリティ対策をご紹介します。
ユーザー管理
クラウド上のネットワークにログインできるユーザーの管理は、非常に重要です。退職者や異動者のアカウント削除などをルール化しておくとよいでしょう。
IDやパスワードを慎重に管理することで、不正アクセスのリスクは大きく減らせます。定期的にパスワードを変更したり、ワンタイムパスワードを導入したりといった方法が有効です。
また、リテラシーの向上を目的としたユーザーへの教育も欠かせません。情報セキュリティの担当者だけでなく、すべての従業員がクラウドを安全に使いこなせるようにしましょう。
OSやアプリケーションのアップデート
OSやアプリケーションのセキュリティに関するアップデートは、欠かさずに行いましょう。
SQLインジェクション攻撃のようなサイバー攻撃は、OSのぜい弱性を見つけて巧みに攻撃を仕掛けてきます。定期的にセキュリティ診断を実施したり、セキュリティ対策ソフトを活用したりなどの方法で、脅威に備えておきましょう。セキュリティ診断は、ソリューションサービスを提供しているベンダーに依頼する方法もあります。
しかし、ゼロデイ攻撃は、ソフトウェアのぜい弱性が発見され、セキュリティパッチが提供される前に攻撃されるため、エンドポイントの保護やサンドボックスの導入など、様々な対策が必要です。
情報セキュリティの担当者は、クラウドサービスを提供するベンダーの公式サイトで常に最新のぜい弱性情報を確認しましょう。
通信データの暗号化
第三者に不正アクセスされても重要なデータが漏えいしないよう、クラウド上の通信データは暗号化しておきましょう。暗号化されたデータを解読できるようにするには、専用の鍵が必要です。社内で権限を付与された人だけが鍵を持っておくと、第三者にデータを悪用されることもありません。
暗号化には、Webサイトが安全に閲覧できるSSL/TLSやエンドポイントとリモートコンピューターのデータ送受信を暗号化するSSHなどがあります。
サービス提供モデルごとのリスク対策
クラウドは、SaaS、PaaS、IaaSと呼ばれる3つのサービス提供モデルに分類されます。利用するサービスモデルによって適切なセキュリティ対策は異なります。
SaaS(Software as a Service)は、様々なアプリケーションサービスの提供が中心です。不正にアクセスされないために、IDやパスワードの厳重管理やアクセス制御などを実施しましょう。
PaaS(Platform as a Service)は、アプリケーションの開発環境を提供するサービスです。データ管理に加え、アプリケーションの領域にもセキュリティ対策が必要です。
近年は、アプリケーションのぜい弱性を突いたサイバー攻撃が多発しています。ぜい弱性診断の実施やセキュリティパッチの導入、マルウェアスキャン、2段階認証の採用などが有効です。
IaaS(Infrastructure as a Service)は、サーバーやOS、ミドルウェアなどのセキュリティ対策が必要です。OSやミドルウェアのぜい弱性診断や権限設定、改ざん検知の導入、安全な運用に必要な人材の確保など、多角的に対策を講じる必要があります。
クラウドについて詳しい記事もご用意しております。ぜひお役立てください。
▼SaaSとは? メリット、デメリット、PaaSやIaaSとの違いを解説
▼オンプレミスとクラウドって何が違うの? 移行の特徴も解説
バックアップ
クラウドに限りませんが、データのバックアップは基本的なセキュリティ対策のひとつです。マルウェアの感染やサイバー攻撃、自然災害などのトラブルが起こった時に備えてバックアップしておきましょう。バックアップの保管場所は、ネットワークから隔離しておいた方が安全です。
クラウド型セキュリティサービスとは
近年、システムやネットワークのクラウド化に伴って、クラウド型セキュリティサービスの需要が高まっています。
オンプレミスでは、IPS(不正侵入検知システム)/IDS(不正侵入防御システム)などの機能を持ったUTM(統合脅威管理)を拠点ごとに配置していました。
一方、クラウド型セキュリティサービスでは、これらのセキュリティ機能をすべてクラウド上に配置しているのが特徴です。サンドボックスやWebウイルスチェック、URLフィルタリング機能なども備えています。
またクラウドでは、アンチウイルスやソフトウェアの購入や専用の機器なども不要で、導入コストも抑えられます。このため、本格導入する前のスモールスタートが可能です。
ところで、法律やガイドラインの変化、サイバー攻撃の巧妙化などから、セキュリティ対策は常に最新の機能が求められていますが、クラウド型セキュリティサービスを利用すると、管理やアップデート、ぜい弱性の修正などは、ベンダー側に任せることになります。
このため、製品の精度やベンダー選びは重要です。導入前には提供しているサービスの内容をしっかりと確認しておきましょう。
テクバンでは、あらゆるマルウェアなどの脅威に対応できるクラウド型セキュリティの導入支援サービスを用意しておりますので、詳しく紹介します。
Cisco Umbrella導入支援サービス
Cisco Umbrellaは、DNS(Domain Name System)サーバーやプロキシサーバーを利用したクラウド型セキュリティサービスです。
業界最高レベルの検知機能と、シスコ社の専門チームが世界中から収集した脅威情報をもとに、徹底したセキュリティ対策を実現します。VPN接続の有無に関わらず、どこからでもファイアウォールとしての役割を果たします。
Cisco Umbrella導入支援サービス
VMware Carbon Black Cloud(EDR)導入支援サービス
VMware Carbon Black Cloud(EDR)は、最新の脅威や未知の脅威にも対応できる次世代型のクラウドセキュリティサービスです。
ウイルス検知精度の高いNGAV(Next Generation Anti-Virus:次世代アンチウイルス)機能と脅威の発見や調査、復旧を行うEDR(Endpoint Detection and Response)機能を兼ね備えており、高いセキュリティレベルを維持できます。
Workspace ONEとの連携が可能でエンドポイントのセキュリティ強化を実現します。
VMware Carbon Black Cloud(EDR)導入支援サービス
万全のセキュリティ対策でクラウドサービスへの不安をなくそう!
クラウドサービスは、多くのメリットがあるセキュアなサービスです。クラウドの仕組みを理解し、クラウドサービスに合ったセキュリティ対策をすることで不安は軽減できるでしょう。
信頼できるクラウド型セキュリティサービスや導入支援サービスなどを活用すれば、セキュリティの強化につながります。
万全のセキュリティ対策で、クラウドサービスの導入を検討しましょう。
クラウドサービスのセキュリティ対策について、さらに詳しい記事もご用意しております。ぜひご確認ください。
▼セキュリティクラウドとは? その重要性や導入メリット、注意点などをわかりやすく解説
