クラウドセキュリティとはクラウド環境下にあるデータやアプリケーション、サービス、基盤や設備などを保護するためのセキュリティポリシー、ツール、テクノロジーを指します。簡単にいうとクラウドサービスを利用する際のリスクに対するセキュリティ対策のことです。クラウドサービスにはどのようなリスクがあるのか、まず見てみましょう。
【総合受付窓口】
大塚商会 インサイドビジネスセンター
0120-579-215(平日 9:00~17:30)
企業に必要なクラウドセキュリティとは? 最新ガイドラインの概要と求められる対策
クラウドサービスを利用する企業の割合は年々増加しています。総務省によると、クラウドサービスを一部でも利用している企業が2016年には46.9%であったのが、2020年には68.7%と約7割を占めるまでになっています。
クラウドサービスは従来のパッケージソフトや自社内でのネットワーク構築とは異なる特性を持つため、その特性に応じたセキュリティ対策が必要とされています。
企業に必要なクラウドセキュリティとは何なのか、国が示したガイドラインや具体的なセキュリティ対策方法、クラウドサービスの選び方のポイントを解説します。
クラウドセキュリティとは?
クラウド環境で考えられる主なリスクとは?
クラウドサービスとはインターネット経由でデータやソフトウェアなどを使うサービスを指します。これまではパソコンなどの端末ごとにソフトウェアなどを用意し、自社に構築したサーバー上のデータも含めて管理、運用は利用者が行っていました。クラウドサービスでは、基本的にはソフトウェアやサーバーなど機材の購入、システムの構築、運用、管理をサービス業者に任せられるため、業務の効率アップやコスト削減が図れるメリットがあります。
その一方で、セキュリティのレベルはクラウドサービスを提供している事業者によってバラバラです。利用する側は、セキュリティ対策が不十分な場合のリスクをしっかり理解して、サービスを選ぶ必要があります。
クラウド環境で考えられるリスクは主に以下があります。
不正アクセス
マルウェアや不十分な管理体制によってIDやパスワードが流出し悪意のある第三者にログインされるリスクがあります。
情報漏えい
サーバーのセキュリティ対策が不十分であると、不正アクセスなどにより機密情報や顧客データ、個人情報が漏えいするリスクがあります。
データ消失、破損
サーバー障害や災害、不正アクセスなどさまざまな理由によりデータが消失、破損するリスクがあります。
サイバー攻撃
システムが常にインターネット接続しているためサイバー攻撃を受けやすいリスクがあります。
リスクの範囲はクラウドの種類によって異なる
サーバーやネットワーク機器、ソフトウェアなどを自社で用意し、管理・運用する形態を「オンプレミス」といいます。自社の目的にあったシステム構築がしやすく、クラウドよりもセキュリティリスクが低いとされていたため、かつてはオンプレミスを選ぶ企業が多数を占めていました。
しかし、近年は高度なセキュリティ対策によってリスクが軽減したクラウドサービスも多数登場し、利用する企業が増えています。
クラウドサービスのセキュリティ面を考えるとき、押さえておきたいポイントの一つにクラウドの種類があります。以下のように主に三つの種類に分けられますが、サービスの種類によってリスク範囲が異なるためとるべき対策も違う点を覚えておきましょう。
SaaS(Software as a Service)
サースまたはサーズと呼ばれています。グループウェア、顧客管理、財務会計など、かつてパッケージ製品として販売されていたソフトウェアの提供をインターネット経由で行うサービスです。
PaaS(Platform as a Service)
パースと呼ばれています。仮想化されたアプリケーションサーバー、データベースといったアプリケーションやソフトウェアを実行するためのプラットフォームの提供をインターネット経由で行うサービスです。
IaaS(Infrastructure as a Service)
アイアースまたはイアースと呼ばれています。デスクトップの仮想化、共有ディスクなどハードウェアやインフラの提供をインターネット経由で行うサービスです。
クラウドセキュリティガイドラインとは?
クラウドサービスのセキュリティリスクが減ったとはいえ、クラウド環境特有のリスクがあり、オンプレミスとは異なるセキュリティ対策を講じる必要があります。国はクラウドセキュリティに関するガイドラインを定めていますので、ここからはガイドラインの内容について紹介します。
経済産業省が策定
クラウドサービスが登場した当初は、利用者側にも事業者側にも明確な運用ルールがなかったため、情報漏えいやサイバー攻撃、不正アクセスなどの問題が多くありました。そのため、2011年に経済産業省が「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を策定しました。これが、通称「クラウドセキュリティガイドライン」と呼ばれるものです。
その後、改定された「2013年度版」にはクラウドサービスの利用者と提供者が把握すべきリスクについて、国際規格「ISO/IEC27002:2005」に沿った内容が追加されました。その際、利用者と提供者それぞれに向けた「クラウドセキュリティガイドライン活用ガイドブック」も公開されました。
そのなかでは、利用者と事業者の双方が知っておくべきリスクと対策として以下の8項目が示されています。
インフラ
検討対象となるリスク:データ流出、なりすまし、意図しない操作ミス、電源喪失によるサービス停止など
対策の例:暗号通信の標準化、証明書による認証、運用者への訓練、バックアップ電源の確保と定期的なテスト実施など
仮想化基盤
検討対象となるリスク:事故に備えた対応の不備、サービス停止など
対策の例:インスタンスのバックアップ、システム構築のテンプレートの準備、バックアップ環境の用意など
サービス基盤
検討対象となるリスク:認証サーバーへの攻撃、決済サービスへの攻撃、ストレージサーバーへの攻撃など
対策の例:サービス構成図の作成、サービスの冗長化、共有サービスへの正しい理解など
統合管理環境
検討対象となるリスク:IaaS、PaaSの運用コンソールへの攻撃、SaaSの管理者用パネルへの攻撃、監視サービスへの攻撃、システムログの改ざんなど
対策の例:適切なアクセス管理、不正侵入検知システムを利用した監視など
データ管理
検討対象となるリスク:管理方針の不徹底による情報漏えい、データ消失、不正アクセスなど
対策の例:アクセス権の設定、情報資産の分類方針の明確化、ファイルのアップロードやダウンロード時のウイルスチェックなど
データ分類
検討対象となるリスク:適切なアクセス権の設定不能、データのライフサイクル管理の未実装、データ漏えい・流出など
対策の例:アクセス権の設定、データの作成・保管・共有・廃棄手順の明確化、適切なアクセス管理など
ID管理
検討対象となるリスク:ネットワークからの攻撃、IDフェデレーションサービスのトラブル、ほかのサービスへのアクセス不能など
対策の例:二要素認証や二段階認証の実装、サービスごとのID管理レベルの設定など
人員
検討対象となるリスク:利用者のリテラシー不足、クラウドサービスの構築・運用・管理に関するリテラシー不足など
対策の例:セキュリティ教育や研修の実施、手順の文書化、監視環境の構築など
総務省策定のガイドラインでは事業者と利用者の責任分担に言及
2014年には総務省がサービス提供者向けに「クラウドサービス提供における情報セキュリティ対策ガイドライン」を策定しました。これは、2021年に最新の「第3版」に改定されています。
改定版では、クラウドサービスを取り巻く昨今の変化を踏まえ、ISMAP管理基準や国際規格の「ISO/IEC27017(2016)」などに沿った内容になっています。
特に、注目したいのはクラウドサービス事業者とクラウドサービス利用者の責任分担について、IaaS、PaaS、SaaSのクラウドサービスごとに解説している点です。セキュリティ対策の不備によって情報漏えいが頻発する要因として、利用者側で対応すべきセキュリティ対策があいまいになっている点が挙げられています。また、クラウドサービスのセキュリティを高めるためには、事業者と利用者が協力して責任を共有する必要があるとも説いています。
なお、提供者向けのガイドラインをベースに2022年には利用者と提供者双方向けの「クラウドサービス利用・提供における適切な設定のためのガイドライン」が策定されています。クラウドサービスの設定不備による情報漏えいや不正アクセスが起きないように、認識すべきリスクや対策などを紹介しています。
安全なクラウドサービスの選び方のポイント
企業でクラウドサービスを利用する際は、機密情報の漏えいや顧客データの流出などが起きないように万全のセキュリティ対策をとる必要があります。安全なサービスを選ぶポイントとしては、主に以下が挙げられます。
国が策定したガイドラインを活用する
クラウドサービスにはどのようなリスクがあり、どのような対策によって防げるのかを利用者側が知ることも大切です。上述の各種ガイドラインを参考にリスクと対策について理解を深めましょう。
サービス提供事業者のセキュリティ対策をよく確認する
自社の利用目的に合ったサービスの提供があるかどうかも選ぶ際の重要な基準になりますが、セキュリティ対策についてもしっかり確認しましょう。
認証制度の取得有無を確認する
情報セキュリティに関する規格や基準のなかには、クラウドサービスに特化したセキュリティ基準(認証制度)もあります。主なものにISMSクラウドセキュリティ認証(ISO27001/ISO27017)、CSマーク、CSA STAR認証、FedRAMP、SOC2,SOC2+などがあり、取得の難易度や対象地域はさまざまです。こうした認証制度の取得の有無を確認して選ぶのも一つの方法です。
クラウドセキュリティについて詳しい専門企業のサポートを受ける
クラウドサービスの仕組みやセキュリティ対策の全てを理解するのは難しく、自社だけで選定するのは困難な面があると判断したときは、専門企業のサポートを受けるのもおすすめです。
なお、クラウドサービスを導入する際は、自社のセキュリティ対策の見直しも必要です。退職者のIDを含む全ての社員のIDやパスワード管理は適切になされているか、アクセス制限やアクセス認証など安全に利用するための認証管理が行えるかなどにも目を向け、セキュリティ強化を図りましょう。
セキュリティ強化のためのシステム導入のご相談は大塚商会まで
テレワーク導入やDX推進をきっかけにクラウドサービスを導入する企業が増えました。管理するID数が増え、セキュリティ面で不安を抱えている担当の方も多いのではないでしょうか。
そこでぜひお使いいただきたいのが、低コストでセキュアな環境を構築できる大塚商会の「OTSUKA GATE」です。クラウドサービスを安全かつ便利に利用していただくために、一度のユーザー認証で複数のシステムの利用が可能になる「シングルサインオン(SSO)」、多要素認証やIPアドレス制限などの「認証管理機能」、ADアカウントとの連携や複数サービスのID・パスワードの一元管理といった機能を備えています。
導入に伴う設定作業に不安のある方を対象とした「導入支援サービス」も準備しているのでお気軽にお問い合わせください。
ナビゲーションメニュー