クラウドセキュリティとは? 対策やリスク、サービスの選び方を解説
規模のカスタマイズが容易な利便性の高さ、導入・運用コストの安さなどを背景に、クラウドサービスは一気に普及しました。インターネット環境さえあれば利用できる手軽さは、テレワークなどの新しい働き方にもフィットします。しかし、外部ネットワークからもアクセスできるクラウドのメリットは、同時に社内システムの安全性を脅かすセキュリティリスクといったデメリットになり得ることにも注意が必要です。では、クラウドサービスのセキュリティを高めるためには、どのような対策が必要なのでしょうか。
本記事では、クラウド特有のセキュリティリスクや、その対策、安全なサービス選びのポイントについて解説します。
クラウドセキュリティとは、クラウド環境下で発生するセキュリティリスクへの対策のこと
クラウドセキュリティとは、クラウド特有の環境下で発生するセキュリティリスクへの対策のことです。
そもそもクラウドとは、インターネットなどのネットワークを経由して、サーバーやソフトウェア、アプリケーション、データストレージなどを利用する仕組みのことです。クラウドを利用した電子メールやゲーム、SNSなどのサービスは、事業者が管理するデータセンターのサーバーやストレージと連携することによって、ネットワーク経由でパソコンやスマートフォンなどに提供されています。
クラウドサービス登場以前の企業のIT環境は、システムを構築するためのハードウェアやソフトウェアを自社で保有・管理するオンプレミス型の運用形態が主流でした。オンプレミス型は、必要な設備の調達から保守・運用まで自社で一貫して行うため、カスタマイズ性が高いのが特徴です。セキュリティレベルにも上限がなく、自社が理想とする環境を作り上げることができます。ただし、設備の導入に初期費用がかかり、カスタマイズの仕方によっては運用開始までの期間が長期化するのが難点でした。
一方クラウドは、ハードウェアやソフトウェアを自前で用意する必要がありません。事業者が構築した環境を必要な分だけ利用する形態であるため、すぐに導入できる点がメリットです。自宅やサテライトオフィス、出張先などからでも、業務用のプラットフォームやソフトウェアへのアクセスができるため、業務効率の向上も期待できます。ただし、料金形態は一般的に従量課金制で、月額利用料を支払っていくため、使えば使うほどランニングコストが高くなる点には注意が必要です。
クラウドサービスの種類
クラウドサービスとして、業務用のソフトウェアやデータストレージなど、様々なサービスが提供されています。クラウドサービスは、提供されているサービスの内容によって「SaaS」「PaaS」「IaaS」の3つに分類されます。
SaaS
SaaS(Software as a Service)は、クラウド上でソフトウェアやアプリケーションを提供するサービスです。ログインすればブラウザ上でサービスを利用できるため、パッケージ版のソフトウェアやアプリケーションを購入してインストールする必要がありません。クラウド上で提供されるメールソフトや文書作成ソフト、表計算ソフト、データストレージなどが、SaaSの代表的な例です。
PaaS
PaaS(Platform as a Service)は、アプリケーションを動作させるためのミドルウェアやハードウェアをクラウド上で提供するサービスです。システムの開発に必要なプラットフォームを手軽に手に入れることができ、構築の手間がかかりません。PaaSを利用することで、開発環境を構築する際の初期費用を抑えられます。
IaaS
IaaS(Infrastructure as a Service)は、サーバーや通信回線などをクラウド上で提供するサービスです。開発環境をトータルで提供するPaaSに対して、IaaSは開発環境の構築に必要なリソースのみを提供する点が異なります。IaaSで必要なリソースを必要な分だけ調達することで、自社に最適な環境を構築できます。
- あわせて読みたい
総務省が公表しているクラウドセキュリティに関するガイドライン
総務省は、クラウドサービスを導入している企業や組織に向けたクラウドセキュリティへの対応方法を「クラウドサービス提供における情報セキュリティ対策ガイドライン」として取りまとめています。
クラウドサービスの拡大によって、様々なサービス形態が生まれたことで、クラウドサービスの提供事業者がセキュリティを管理、統制する難度が上がりました。また、クラウドサービスのセキュリティには、事業者と利用者のそれぞれに責任を負う範囲があります。下記のようにSaaS・PaaS・IaaSの各サービス形態で範囲が異なるため、認識のずれによるセキュリティインシデントも発生するようになりました。
| SaaS | PaaS | IaaS | |
|---|---|---|---|
| データ | ユーザー | ユーザー | ユーザー |
| アプリケーション | |||
| ミドルウェア | サービス提供企業 | ||
| OS | サービス提供企業 | ||
| ハードウェア基盤 | サービス提供企業 |
インシデントを未然に防ぐには、サービス提供事業者と利用者の双方が自らの責任範囲において正しい設定を行い、適切な管理を継続する必要があります。
「クラウドサービス提供における情報セキュリティ対策ガイドライン」は、こうした状況を受け、事業者と利用者の責任範囲と安全な運用ルールを明確化する目的で策定されたガイドラインです。同ガイドラインはこれまでに2度改訂されており、2024年7月現在では第3版が公開されています。
クラウドサービスのセキュリティリスク
クラウドサービスは、サービス提供者によってセキュリティ体制は構築されていますが、不正アクセスや設定ミスなどによってセキュリティリスクが発生する可能性もあります。クラウド環境で起こり得る、代表的なセキュリティリスクとしては、下記の3点が挙げられます。
情報漏洩
クラウドサービスで発生し得るリスクの1つは、自社が保有する顧客データや経営戦略、財務情報などの機密情報が漏洩するリスクです。
クラウドは、ネットワーク経由で外部からもサービスを利用できる仕組みです。インターネット環境さえあればどこからでもサービスにアクセスできる点は、裏を返せば、第三者が機密情報にアクセスできることにもつながります。対策を講じなければ、悪意の第三者の不正アクセスによって重要情報が漏洩しかねません。
また、内部の人間による意図的なデータの持ち出しや設定ミスなど、人為的な問題で情報が漏洩することもあります。社内のセキュリティ意識を高めて不正を見逃さない風土を醸成すると共に、内部不正が行いづらくなるシステムの導入や、従業員の不正の動機を生まないための労働環境整備なども重要です。
データ消失
クラウドサービスでは、クラウド上に保存していたデータが消失するリスクもあります。データ消失の要因としては、自然災害によるデータサーバーの損傷やシステム障害、利用者の設定ミス、不正アクセス、内部不正などが考えられます。完璧に対策をしたつもりでも、思わぬトラブルでデータが消失するリスクは常につきまとうため、データ消失の可能性を前提とした対策が必要です。
金銭的被害と社会的信用の低下
クラウドサービスで発生するリスクの1つとして、情報漏洩やデータ消失が起きたことで発生する金銭的被害と社会的な信用の低下も挙げられます。
例えば、従業員のミスで自社の顧客情報が漏洩した場合、あるいは従業員の個人情報が外部に漏洩した場合、流出した情報の所有者である顧客や従業員から損害賠償を求められることがあります。氏名や住所、メールアドレスといった情報の漏洩にも注意が必要ですが、信用情報や人種、病歴、犯罪歴といったセンシティブな情報が漏洩した場合は、一般的に多額の賠償金の支払いが必要です。漏洩した情報が悪意の第三者に利用される二次被害が起きた場合も、賠償額は高額になる傾向にあります。
また、データ消失が起きた場合、状況によっては業務を停止せざるを得ず、経営にダメージが及ぶことも考えられます。復旧するまでに、時間とコストも必要です。
加えて、情報漏洩が起きたことで企業の管理体制を不安視する声が上がれば、取引先などの関係者からの信用低下による営業機会の損失、株価の下落などにもつながりかねません。
クラウドサービス利用時に行うべきセキュリティ対策
クラウドサービスでは、場合によっては事業継続が困難になるセキュリティインシデントが発生する可能性もあるため、セキュリティ上のリスクを減らす対策は必須です。クラウドサービスを利用する際に、企業が実践すべき主なセキュリティ対策としては、下記の6点が挙げられます。
認証の強化
クラウドサービスを利用する際は、クラウドにアクセスするための認証を強固にすることが重要です。社内システムなどにログインする際は、ユーザー名とパスワードで認証するのが一般的ですが、単純なパスワードは攻撃者に推測され、不正アクセスを招く可能性が高まります。アルファベットの大文字や小文字、数字、記号を組み合わせた、できるだけ文字数の多い複雑なパスワードを設定し、定期的に変更するよう社内教育を徹底しましょう。
また、複数のアカウントでのパスワードの使い回しを避け、名前や生年月日など特定されやすい単語や数字を使わないようにするなどの基本的な対策を、社内に周知する必要があります。このように、アカウント情報の管理体制を強化して流出を防ぐことも重要です。
併せて、多要素認証を導入することもお勧めします。多要素認証は「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせて認証するセキュリティの手法です。多要素認証を導入すると、「パスワードでログインした後、SMSに通知されるワンタイムパスワードを入力する」「指紋認証をした後にICカードでチェックする」といった形で、2つ以上の要素での認証が必要になり、セキュリティを強化することができます。
データセンターなどでのデータのバックアップ
クラウドサービスで利用しているデータを、データセンターなどでバックアップしておくことも、セキュリティリスクを軽減する対策の1つです。
万が一、自社の拠点全体に影響を及ぼすような大規模なサイバー攻撃や、クラウドサービスのサーバーが損傷するような自然災害が起きた場合、業務で利用しているすべてのデータが失われかねません。データセンターなどの遠隔地でもバックアップデータを保存できる体制が整っていると、データ消失のリスクを軽減できます。
アクセス制御
適切なアクセス権をユーザーごとに付与するアクセス制御の実施も、クラウドサービスのセキュリティリスクへの対策として重要です。
例えば、社内の機密情報である経営戦略や人事情報へ、一般従業員でもアクセスできる状態だと、不正アクセスや情報漏洩を発生させかねません。ユーザーごとにアクセスできる範囲を設定すると共に、閲覧や編集といった操作の権限も適切に設定し、業務で不要な情報にアクセスできないようにしてください。
外部共有設定の定期的な確認
クラウドサービスを利用する際に、外部共有設定をその都度確認することも、セキュリティリスクを軽減する対策の1つです。
クラウドサービスには、社内外にいる人とデータを共有したり、共同でファイルを編集したりすることができる外部共有機能があります。テレワークや、他社との共同プロジェクトを円滑に進める上で役立つ機能ですが、設定を誤ると、そのファイルにアクセスするためのURLを知っているだけで情報を閲覧・編集できます。情報漏洩や不正アクセスに直結しかねないため、定期的に設定状況を見直しましょう。
サービスによっては、意図的な公開設定をしない限り外部公開されない仕様になっていることもあります。しかし、その機能がすべてのデータに適用されていないケースも少なくありません。従業員のミスで、外部に公開される設定になってしまっていることも考えられます。定期的に公開設定をチェックすると共に、外部共有する際にも、その都度設定を確認するようにしておくと安心です。
ログ監視ツールの導入
クラウドサービスの利用に際して、ログ監視ツールを導入することも、セキュリティリスクへの対策となります。
ログ監視ツールでシステムやアプリ、デバイスなどへのアクセスを継続的に監視し「いつ」「誰が」「何をしたか」をリアルタイムで把握すれば、不審な動きを速やかに探知して被害を抑えることもできます。監視ツールを導入していることを社内に周知しておけば、従業員の不正を抑止する効果も期待できます。
適切なクラウドサービスの選定
クラウドサービスでセキュリティリスクを軽減するには、セキュリティ対策に力を入れているサービスを選定することも重要です。クラウドセキュリティの充実度は、サービスによって異なります。最新のセキュリティ対策を取り入れた、ユーザーの情報資産を守る姿勢が明確なクラウドサービスを選びましょう。
クラウドサービスの安全性に関する基準
クラウドサービスの安全性は、サービスの提供事業者が、第三者機関に審査される安全性基準をクリアして、認証などを取得しているかどうかで確認できます。下記に挙げる認証を取得している事業者が提供するサービスは、一定の安全性が証明されていると言えます。
ISMSクラウドセキュリティ認証
ISMSクラウドセキュリティ認証とは、クラウドサービスのセキュリティ管理について、一定の基準を満たした管理が実施されていることを証明する認証です。ISMSクラウドセキュリティ認証を得るには、前提として通常のISMS認証を取得していなければなりません。国際規格であり、様々なクラウドサービス提供事業者が取得しています。
CSマーク
CSマークとは、JASA‐クラウドセキュリティ推進協議会が制定した、クラウドセキュリティに関する認証制度です。クラウド情報セキュリティ監査制度に基づく監査を受け、クラウドサービスに必要なセキュリティレベルを実現していると認定された企業に付与されます。CSマークにはゴールドとシルバーの2種類があり、第三者による外部監査を通過したゴールドのほうが信頼性は高いと言えます。
CSA STAR認証
CSA STAR認証は、アメリカのセキュリティ団体であるCSA(Cloud Security Alliance)が提供するクラウドセキュリティの認証制度です。自己認証・第三者認証・継続審査の3段階でクラウドサービスのセキュリティ成熟度を診断します。世界中で利用されており、認証を保持するには定期的な監査を受ける必要があります。
StarAudit Certification
StarAudit Certificationは、ECE(EuroCloud Europe)による認証制度です。評価範囲を「CSP(クラウドソリューションプロバイダー)の情報」「法的事項」「セキュリティとプライバシー」「運用プロセス成熟度」「クラウド形態」「データセンター」の6つの領域に分割し、3つから5つの星の数で評価します。
FedRAMP
FedRAMP(Federal Risk and Authorization Management Program)は、アメリカ政府が採用しているクラウドサービスのセキュリティ評価ガイドラインです。クラウドサービスのセキュリティ評価、認証などの基準を提供しています。FedRAMPの認証を得たサービスは、アメリカの政府機関で導入できるセキュリティを備えています。
SOC2(SOC2+)
SOC2(SOC2+)は、アメリカの公認会計士協会(AICPA)が定める、サイバーセキュリティの報告に関するフレームワークです。「情報セキュリティ」「プライバシー」「機密保持」「可用性」「処理の誠実性」の5点の中から1点以上の項目を選択し、システムやサービスを評価します。
安全なクラウドサービス選びのポイント
安全なクラウドサービスを利用するためには、クラウド環境でレベルの高いセキュリティ品質を維持できるサービスを選ぶことが重要です。下記に挙げるポイントを参考に、信頼できるサービスを選びましょう。
- クラウドサービス選びのポイント
-
- 国際規格を取得している(ISMSクラウドセキュリティ認証など)
- アクセス権限を細かく設定することができる
- データや通信内容が暗号化できる
- 多要素認証に対応している
- アクセスログの管理機能を備えている
クラウドセキュリティのリスクに対応するために、適切な対策を実施しよう
様々な企業で導入されているクラウドサービスは、組織の外からも社内のデータにアクセスでき、コストを抑えて多様な働き方に対応できるメリットがある一方、その利便性がセキュリティ上のリスクにつながる可能性をはらんでいます。信頼性の高いサービスを選ぶと共に、多要素認証の導入やアクセス制御、ログ監視ツールの導入などで大切な情報資産を守りましょう。
情報漏洩対策からIT資産管理、労務管理まで一元的に支援するインターコムの「MaLion」シリーズは、クラウドサービスのセキュリティ対策にも有用です。セキュリティポリシー設定やポリシー違反者への警告通知、Webアクセス監視・制限、Webアップロード監視、ファイルアクセス監視・制限などの機能を備え、企業の情報資産を守ります。クラウドのセキュリティ対策を検討中の方は、ぜひご検討ください。
