• このエントリーをはてなブックマークに追加

クラウドセキュリティで自社の情報資産を守るには?必要な対策とポイントを解説

「これからクラウドを使いたいけど、安全性はどうなんだろう」

と思っている方。

クラウドを安全に使うには、セキュリティ体制が整ったものを選ぶことが重要です。

とはいえ、具体的にどのようなポイントを重視して選べばよいかわかりにくいですよね。

そこでこの記事では、

  • セキュアなクラウドの要素3つ
  • クラウドサービスを導入する前に考えておくべきこと
  • クラウドセキュリティ対策のポイント

の順にお伝えします。

一見ハードルが高そうに感じるクラウドセキュリティも、押さえるべきポイントは多くありません。

まずはこの記事でクラウドセキュリティについて知りましょう!

セキュアなクラウドの要素3つ

安全に利用できるクラウドの要素は、3つあります。

  1. サイバー攻撃に強い
  2. サーバーダウン、データ消失への予防策がある
  3. 機密情報へのアクセス管理がしっかりしている

クラウドサービスはネットワークを介して情報を扱うという特性から、これらの要素を満たしていることが重要です。

以下で詳しく説明します。

1. サイバー攻撃に強い

近年、ランサムウェアと呼ばれるサイバー攻撃により、多くの企業が被害を受けています。悪意を持った相手からネットワークを通じて攻撃を受けた場合、それを100%防ぐことは難しいのが実態です。

この点においては、自社の閉じたネットワークを利用するオンプレミスは安全度が高いです。安全性の高いクラウドサービスは、サイバー攻撃からネットワークを守るために、WAF(Web Application Firewall)などを用いることで対策しています。

2. サーバーダウン、データ消失への予防策がある

クラウドサービスを使うと、社外のサーバーへデータを預けていることになります。そのため、サーバダウンやデータ消失など、データ障害が起こる恐れがあります。

そのため複数の拠点でデータを管理し、バックアップの対応を取ったクラウドサービスを選ぶことが大切です。

3. 機密情報へのアクセス管理がしっかりしている

データの保護は、サイバー攻撃の対策だけでなく、社内のセキュリティにも目を向ける必要があります。

会社の機密情報に社内の誰でもアクセスできる状態になっており、それに気づけないでいることは大きなリスクです。

セキュリティ意識の高くない社員から、情報が外部へ漏れる恐れがあります。そのため機密情報へアクセスできるメンバーを制限し、管理できるシステム構築が必要です。

セキュリティが不十分だと深刻な情報漏えいにつながることも

2018年も、情報漏えいトラブルについては多数の報告が上がっています。

【情報漏えい事例】

  • 2018年1月:「幻冬舎」不正アクセス被害 9万3,014件
  • 2018年3月:「前橋市教育委員会」不正アクセス被害 4万7,839件
  • 2018年6月:「株式会社プリンスホテル」不正アクセス被害 12万4,963件

いずれも不正アクセスにより、数多くの個人情報が流出しました。情報漏えいトラブルはお客さまの信頼を大きく損ない、その後の営業活動に支障をきたします。

なので、クラウドを使うさいはセキュリティへの十分な対策が必要です。

次は、クラウドサービスの導入にあたり検討すべきことについてお伝えします。

クラウドサービスを導入する前に考えておくべきこと

クラウドサービスを導入する前に自社で考えておくべきことは4つです。

  1. クラウドサービスでどの情報を扱うか
  2. 扱う情報に合ったクラウドサービスか
  3. 情報の性質や重要度に合った運用ができるか
  4. セキュリティ上のルールにおいて問題はないか

1. クラウドサービスでどの情報を扱うか

まず、社内のどの情報をクラウドサービスで扱うべきかを判断する必要があります。

クラウドサービスの活用は、現状の業務で発生している課題を解消することが目的です。クラウドで扱う必要のない情報まで移行する必要はありません。移行する情報を絞ることでリスクやコストを抑えることが可能です。

2. 扱う情報に合ったクラウドサービスか

クラウドサービスを選ぶさいは、扱う情報に合ったサービスかどうかを確認することが必要です。

クラウドサービスの種類は大きく分けて、

  • PaaS:プラットフォームのクラウド(Google App Engine、Microsoft Azureなど)
  • IaaS:インフラのクラウド(仮想サーバ、ハードディスク、ファイアウォールなど)
  • SaaS:ソフトウェアのクラウド(Gmail、Yahoo!メール、無料ブログサービスなど)
  • DaaS:デスクトップのクラウド(Microsoft Virtual Desktop、IBM Smart Business Desktopなど)

の4種が提供されています。詳しくは「今さら聞けないPaaSとは?IaaS、SaaS、DaaSとの違いを説明します」をご一読ください。

3. 情報の性質や重要度に合った運用ができるか

プライバシーや企業秘密にかかわる情報を扱うさいは、性質や重要度に合った運用が必要です。情報の性質や重要度を考えて、クラウドサービスで扱って問題がないかを検討しましょう。

たとえば個人情報をクラウドサービスで扱うためには、個人情報保護法にもとづき、委託先の適切な監督義務が必要な場合があります。

4. セキュリティ上のルールにおいて問題はないか

会社のセキュリティポリシーやルールで、社外に情報を置くことを禁止していたり、外部委託に関する制限をしていたりすると、クラウドサービスの利用ができない場合があります。

それでもクラウドを利用すべきと判断した場合には、情報をクラウド事業者に預けられるようこれらのルールを見直すことが必要です。

クラウドセキュリティ対策のポイント

経済産業省は2011年、情報セキュリティ対策のポイントとして、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公表しました。

ここでは、ガイドラインをもとに、

  1. サービス選びのさいに気をつけるポイント
  2. 利用するさいに気をつけるポイント

についてお伝えします。

1. サービス選びのさいに気をつけるポイント

まずは、クラウドサービスを選ぶさいに気をつけるポイントを4つお伝えします。

1-a. ファイルや通信経路の暗号化が行われているか

クラウドでは、データがクラウド事業者のデータセンターに保管されるため、通常はインターネットを経由してサービスを利用することになります。

インターネットを経由することは、ネットワーク上での盗聴や改ざんなどのリスクが発生しますので、必ず通信データをSSLによって暗号化することが必要です。

1-b. ログインに多要素認証が用意されているか

クラウドでは、通信経路だけでなくログインに関しても注意が必要です。ログイン情報が守られないと、不正アクセスやなりすましによるデータの閲覧や改ざん、情報漏えいのリスクが発生します。

強固なユーザ認証として、

  • ワンタイムパスワード:アクセス時に1回限り有効なパスワードを発行する機能
  • SSLクライアント認証:アクセスするユーザーが本物であることを証明する機能

が有効です。

またIDやパスワードを利用するさいには、わかりやすいパスワードは禁止し、定期的に変更するようにしましょう。

1-c. 安全性の高いアプリケーション・OSが構築されているか

インターネットを経由せずにサーバーへ接続できるオンプレミスに比べ、クラウドサービスは、より安全性の高いアプリケーション・OSが構築されている必要があります。

クラウドサービスはインターネットの経由が必須のため、インターネットを通じた第三者からのアプリケーションや OS の脆弱性を狙った攻撃により、情報漏えいや改ざんが発生するリスクがあるからです。

クラウドサービスを選ぶさいは、サイバー攻撃や被害の発生をすぐに検知するために、

  • Web Application Firewall
  • マルウェアスキャン
  • 改ざん検知

が導入されているかを確認しましょう。

1-d. データが多拠点でバックアップされているか

海外のデータセンターを利用する場合、政府機関によりデータに対して検閲が入り、最悪の場合サーバーが押収されることがあります。

そのためクラウドサービスを選ぶさいは、データが多拠点でバックアップされていることを確認しましょう。また、

  • データ自体に暗号化を行う
  • 秘密分散などの技術を採用する

なども同様の効果があります。

2. 利用するさいに気をつけるポイント

次は、クラウドサービスを利用するさいに気をつけるポイントについてお伝えします。

2-a. ログインID・パスワードをしっかり管理しているか

クラウドサービスの認証では多くの場合、IDとパスワードが使われます。IDとパスワードが流出した場合、第三者による不正アクセスを防ぐことはできません。

ワンタイムパスワードの使用など、二要素認証を用いることで安全性を高めることができます。

2-b. データセンターへの入退出管理、データへのアクセス認可は適切に行われているか

社員が適切にネットワークへアクセスしているかどうかを管理することも重要です。主要なデータセンターへの出入りの記録を取ることはもちろん、端末へのアクセスを適切に管理する必要があります。

また、社員が社外から通信するときには自社のコントロールがきかないため、データへのアクセスについて制限(ログインできるIPアドレス、ログインできる時間の制限など)を設定することが必要です。

2-c. 外部の無線LANを使用していないか

外部の無線LANは社内と比べて無線LANのセキュリティが甘く、セキュリティ面で問題が発生するケースがあります。通信そのものが暗号化されていない場合は、通信の内容を傍受されかねません。

社員のセキュリティ意識を高め、保護されていない通信を利用してのアクセスはさせないようにしましょう。

クラウドセキュリティを理解して、安全な情報管理を実現しよう!

ここまで、クラウドセキュリティについてお伝えしました。

クラウドサービスは、ネットワークを介して情報を扱うという特性から、

  1. サイバー攻撃に強い
  2. サーバーダウン、データ消失への予防策がある
  3. 機密情報へのアクセス管理がしっかりしている

の3つの要素を満たしていることが必要です。セキュリティが不十分な場合、不正アクセスにより顧客の個人情報が漏えいしてしまう可能性があります。

セキュアなクラウドサービスを導入するにあたっては事前に、

  1. クラウドサービスでどの情報を扱うか
  2. 扱う情報に合ったクラウドサービスか
  3. 情報の性質や重要度に合った運用ができるか
  4. セキュリティ上のルールにおいて問題はないか

の4つを検討しましょう。これらについて考えておくことで、自社に合ったクラウドサービスがはっきりとします。

また、実際にクラウドサービスを選ぶさいのポイントは、

  • ファイルや通信経路の暗号化が行われているか
  • ログインに多要素認証が用意されているか
  • 安全性の高いアプリケーション・OSが構築されているか
  • データが多拠点でバックアップされているか

です。加えて、社員のセキュリティ意識を高めることも重要であることをお伝えしました。

クラウドサービスは、ネットワークを経由してデータへアクセスできるなどの使いやすさがある一方、不正アクセスなどによる情報漏えいの危険性もあります。悪意のある第三者からユーザーの個人情報を守るためにも、セキュリティに対する理解と十分な対応が必要です。

まずは、自社がクラウドでどのような情報を扱うのか、整理することからはじめましょう。

PR:大規模ECサイトなら「EC-ORANGE」

この記事を書いた人
黒田剛司

大阪市立大学商学部を卒業後、新卒で独立。学生時代に身につけた経営・流通・マーケティングなどの知識を活かし、コマースについて幅広いジャンルで執筆。また、サイト制作やWebメディア運営も請け負っており、IT系の記事作成も可能。無類の動物好き。

関連記事

アーカイブ

S-cubism ニュースレター登録

S-cubism ニュースレターとは

ページ上部へ戻る