クラウドサービスの導入を検討する際、セキュリティ対策について不安を持つ人は少なくありません。クラウドセキュリティとは、インターネットを介してデータベースなどにアクセスできるクラウドサービスを利用する際に行うべきセキュリティ対策です
この記事では、クラウドセキュリティの概要やクラウドサービスを利用するメリットとデメリット、クラウドサービス利用時にするべきセキュリティ対策について解説します。さらに、セキュリティ面が充実したクラウドサービスの選び方やクラウドサービス導入前の準備についても解説するので、ぜひ役立ててください。
クラウドセキュリティとは?
クラウドサービスとは、従来パソコンにインストールして使用していたデータベースやソフトなどを、必要に応じてオンラインで利用するサービスを指します。インターネット経由で利用する以上、クラウドサービスにはハッキングや情報漏えいのリスクがあります。クラウドセキュリティとはクラウド環境に特有のリスクに対する対策を指します。
クラウドセキュリティには、クラウドサービス事業者が行うセキュリティ対策とクラウドサービス利用者が行うセキュリティ対策があります。
クラウドサービスのセキュリティ面におけるメリット・デメリット
ここでは、セキュリティ面におけるクラウドサービスのメリットとデメリットについて、それぞれ説明します。
メリット
メリットとしては以下の点が挙げられます。
- 自社よりもはるかに強力なセキュリティ設備
ハッカーの侵入を防ぐために強力なセキュリティ設備が用意されています。 - 不正アクセスを迅速に検知できる
インターネットセキュリティの専門家による高レベルの監視が行われているため、ハッキングされた場合でも迅速に不正アクセスを検知します。 - 利用状況の可視化・制御
シャドー IT の可視化や、企業が契約しているクラウドサービスの利用状況の把握と制御が可能です。
デメリット
デメリットとしては以下の点があります。
- オンライン環境がないと使えない
業務に必要なデータやソフトがオンライン上に保管されるため、インターネットに接続できない場合やクラウドサービスのメンテナンス中などは利用できません。 - セキュリティポリシーの徹底が難しい
クラウドサービス利用時のセキュリティポリシーを企業が統一しても、利用する従業員に徹底できず、情報漏えいなどが発生する場合もあります。 - 従業員がシャドー IT を行う恐れがある
従業員の私物のパソコンなど、企業が許可していないデバイスから企業のクラウドサービスを利用し、トラブルが発生する恐れがあります。
クラウドサービス利用時に行いたいセキュリティ対策
ここでは、クラウドサービスを利用する際に行いたい7つのセキュリティ対策について、以下でそれぞれ解説します。
通信データの暗号化
クラウドサービスはインターネットを経由して利用する以上、通信中にデータの盗聴や改ざんがされる恐れがあります。そのため、機密情報の送信時には SSL を用いて通信データを暗号化する必要があるのです。
特に、公共のフリー Wi-Fi など暗号化されていない通信を業務で使用すると、ハッカーの侵入経路に利用されかねません。社外では、WPA2 など高度なセキュリティの Wi-Fi を利用するようにしましょう。
ID・パスワード認証の強化
万が一、ID・パスワードが流出すれば不正アクセスを受けて機密情報が漏えいする恐れがあります。特に、複数のクラウドサービスにおける ID・パスワードの使い回しはセキュリティホールを増やす原因です。
ID・パスワード認証を強化するためには、ワンタイムパスワードや SSL クライアント認証などを使用しましょう。
データ保管場所の把握
データセンターが海外にある場合、設置国の法律に基づき、政府機関によってデータの検閲や差し押さえ、サーバー停止などが強行される可能性があります。
できれば、国内にデータセンターを持つクラウドサービスを選ぶほうが安心です。あるいは、データの保管場所を把握し、あらかじめデータの暗号化やバックアップ、HSM(ハードウェアセキュリティモジュール)を用いた鍵管理や秘密分散処理をしておきましょう。
データのバックアップ
クラウドサービス事業者側で不具合や障害が発生すると、データが消失して復元できなくなる場合もあります。また、クラウドサービスを使用する従業員が操作ミスによってデータを消してしまうことも起こり得るでしょう。
データが消失する原因は他にもあるため、万が一の事態に備えて、重要なデータは定期的にバックアップを取っておくことが大切です。
安全性の高いアプリケーション・OS の構築
クラウドサービス事業者側がシステムの不具合や障害を未然に防ぐ対策として、脆弱性のチェックを頻繁に行い、漏れのないセキュリティ対策になっているかを確認しましょう。アプリケーションやソフトウェア、OS などが随時、アップデートされており、安全性の高いシステムが構築されていることが重要です。
退職者などのアカウントの適切な処理
クラウドサービスを使用していた従業員が退職する場合は、退職後に個人のパソコンやスマートフォンなどからログインできないように、ログイン情報やアカウントを処理する必要があります。
ただし、給与に関する情報などは後日、必要になる場合もあるため、アカウントは削除せず、退職後の適切なタイミングでログイン権限を変更、あるいは、削除するとよいでしょう。
指定端末以外からのアクセス制御
従業員の私物であるパソコンやスマートフォンなどは、企業が支給するデバイスと比べるとセキュリティ対策が万全でない場合もあります。そのため、企業が指定するデバイス以外からはクラウドサービスにアクセスできないよう、IP アドレス認証や端末認証機能を利用して制御することも、機密情報の漏えいを防止するうえで重要です。
セキュリティ面がすぐれたクラウドサービスを選ぶポイント
ここでは、セキュリティ面においてレベルの高いクラウドサービスを選ぶためにチェックしたい3つのポイントについて解説します。
総務省が定める「クラウドサービス事業者が行うべき主要な情報セキュリティ対策」とは?
総務省はクラウドサービスを選定する際の指標として、事業者が行うべき主な情報セキュリティ対策に以下の7つを挙げています。
- データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
データセンターで行われている災害対策や入退室管理についてなど、物理的なセキュリティ対策について詳細を確認しておきましょう。 - データのバックアップ
どのようなバックアップ体制がとられているのかチェックしましょう。 - ハードウェア機器の障害対策
万が一ハードウェア機器に障害が起こった場合にどのような対策がとられているのか、確認が必要です。 - 仮想サーバーなどのホスト側の OS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策、システムの脆弱性の判定と対策が頻繁に更新されていることが重要です。
- 不正アクセスの防止
悪意を持つ第三者が機密情報にアクセスできないよう強固なアクセス制御やユーザー認証などの対策が行われているか確認しましょう。 - アクセスログの管理
不正アクセスの侵入経路やハッカーの正体など原因究明するために、アクセスログを保管する機能があるかチェックします。 - 通信の暗号化の有無
Web ページの通信が SSL 化されているかどうかの確認が必要です。
VLAN(Virtual LAN)の有無
VLAN(Virtual LAN)とは、レイヤ2スイッチでネットワークを分割する仮想化技術です。
VLAN を別にすると相互通信ができなくなるため、マルウェアの感染拡大などを最小限に抑えられるというメリットがあります。ルーターやレイヤ3スイッチを使えば、VLAN を相互接続することも可能です。また、物理的な配置や配線を変更することなく複数のスイッチを設けられるため、ネットワークの柔軟性・拡張性の向上に役立ちます。
アクセス制限機能の充実度
オンラインのデータやデバイスを機密情報漏えいから守るためには、悪意ある第三者が侵入する入口を最小限にすることが重要です。クラウドサービスを選ぶ際も、アクセス制御機能でどの程度細かい設定ができるかを確認しましょう。具体的な確認事項は以下の通りです。
- アクセスできるデバイスの認証設定ができるか
- アクセスできる場所の IP アドレス設定ができるか
- フォルダやファイルごとにアクセス権限設定ができるか
- アクセスできる人の認証設定(二段階認証や ID 認証など)ができるか
クラウドサービス導入前にすべきこととは?
クラウドサービス利用にあたってセキュリティ対策を徹底するには、導入前に守るべきデータとそれぞれの重要度を明確にしておくことが大切です。以下の5点を確認しておきましょう。
- 守るべきデータとは何か:顧客情報など
- データを何から守るのか:不正アクセスやマルウェアなど
- 守るべき重要性のレベル:顧客情報は極秘扱いにするなど
- どのレベルでセキュリティを要求するか:ログイン後、極秘情報へのアクセスには別の認証を設定するなど
- 攻撃された場合に想定できるリスクや被害の内容と規模:金銭的ロス、信頼性の喪失など
セキュリティレベルを強化するには?
マネージドセキュリティサービス(MSS)を導入する企業が増えています。マネージドセキュリティサービス(MSS)とは、経験豊富なセキュリティ専門アナリストが持つ豊富なノウハウを活用して構築したシステム監視サービスです。
マネージドセキュリティサービス(MSS)を活用すれば、自社で監視システムを構築したりセキュリティ対策を熟知した人材を配置したりすることが難しい場合でも、高度なセキュリティ対策を実現できます。たとえば、顧客企業のシステム監視を365日24時間行う最先端のセキュリティ監視センター(SOC)を完備しているサービスなどもあります。
まとめ
クラウドサービスを安全に利用するためには、セキュリティ対策が万全のサービスを選ぶことや、自社で行うセキュリティ対策も欠かさないことが大切です。
SBテクノロジーのマネージドセキュリティサービス(MSS)では、セキュリティ監視センター(SOC)を完備しています。クラウドにおける豊富な構築、運用経験を活かし、お客様のクラウド環境をセキュアに守ることが可能です。SBテクノロジーがシステムの運用監視を行い、お客様の負担を大幅に軽減します。まずは、無料の資料請求やお問い合わせをご検討ください。