クラウドは情報漏えいの危険があるのか？ 防止のポイントとは

クラウドサービスとは

クラウドサービスは、正確には「クラウド・コンピューティング」と呼ばれ、コンピューターのリソースやアプリケーション、ソフトウェアを、インターネット経由で利用するサービスの総称です。

クラウドサービスを導入すれば、企業は自社にサーバーを設置する必要がなく、ソフトウェアの管理や保守もクラウドサービスの運営会社に任せられます。そのため、専門的な知識を持った担当者も不要で、総じてコスト面で有利になるとされています。

クラウドサービスの種類

クラウドサービスには大きく分けて2種類あります。一つは、サービス提供者が、利用者を問わずインターネットなどで広くサービスを公開している「パブリッククラウド」、もう一つは特定の利用者がクラウドの環境を専有してサービスを利用する「プライベートクラウド」です。

また、複数のクラウドサービスを組み合わせて使用する運用形態を「マルチクラウド」、クラウドサービスにオンプレミスという自社サーバーを組み合わせて最適な環境を構築する運用形態を「ハイブリッドクラウド」と呼びます。

このうち、パブリッククラウドはさらに三つのカテゴリに分類されます。

クラウドサービスの利用者と提供者双方に求められるセキュリティ対策

クラウドサービスはネットワーク越しのサービスである以上、常に情報漏えいのリスクが付きまといます。そういったリスクを軽減させるため、総務省は「クラウドサービス利用・提供における適切な設定のためのガイドライン」を作成し、2022年10月に公表しています。

ガイドラインは、日本工業規格（JIS）のうち、情報セキュリティの指針として多くの企業が活用しているJIS Q 27002（実践のための規範）を基に作成されており、安全にクラウドサービスを活用するためにサービス利用者が注意すべきことや、サービス事業者に必要な管理策などについて記載しています。

クラウドサービスに潜むリスク

クラウドサービスは、オンラインを利用したサービスである以上、避けられないリスクがいくつか存在します。

どういったものが考えられるのか、種類ごとにみていきましょう。

クラウドサービスの情報漏えい事例

クラウドサービスで発生した情報漏えいにはどういった種類があるのか、国内の具体的な事例を見ていきましょう。

情報が漏えいした場合、その責任の所在は？

万が一、情報が漏えいしてしまった場合、責任の所在はどうなるのでしょうか。

クラウドサービスを利用する場合、一般的には、提供事業者側と利用者側で責任を分担する「責任共有モデル」が採用されています。

総務省は、クラウドサービスにおける責任の分担部分である「責任分界点」を明確にするため、「クラウドサービス提供における情報セキュリティ対策ガイドライン」で説明しています。

内容は、「データ」「アプリケーション」「ミドルウェア」「OS」「仮想環境」「ハードウェア」「ネットワーク」「施設・電源」からなり、この区分を使用して、契約時に責任の分担を行います。

責任の分担部分は、サービスの分類（SaaS、PaaS、IaaS）によって異なり、各サービスを利用する際には、どの部分を利用者が担うのか、しっかりと確認した上で契約を行わなければなりません。

例えば、SaaSでは、「データ」の管理を行う責任と権限を利用者が所持するほか、「アプリケーション」を限定的に管理する権限があります。また、PaaSは、「データ」「アプリケーション」を管理する必要がありますが、IaaSではより広く「データ」「アプリケーション」「ミドルウェア」「OS」の管理責任を担うことになります。

ただし、これらはあくまでも一般的な例です。正確な責任分界点は契約時にしっかりと確認した上で、利用者の分担でない場所にも注意しましょう。

改正個人情報保護法による企業側の影響

2022年4月に施行された改正個人情報保護法により、個人情報取扱事業者に対して「守るべき責務」が追加されました。

中でも重要なのが、個人情報などが漏えいした際の報告の義務化です。

これまでは、個人情報の漏えいが生じた場合でも個人情報保護委員会や本人に、漏えいの報告義務がありませんでした。しかし、この法改正により「情報漏えいや個人の権利利益を害する問題が生じた場合、委員会への報告および本人への通知を行う」ことが義務となりました。

これにより、情報漏えいを発見するための対策やルール整備はもちろん、報告期日までのプロセスの整備などが企業に求められます。

クラウドサービスを利用するメリット

クラウドサービスの導入には、以下のようなメリットがあります。

クラウドサービスを利用する際の注意点

主にコスト面で大きなメリットのあるクラウド化ですが、注意点も存在します。

それは、これまでに解説した情報漏えいやデータ消失、不正アクセス、サイバー攻撃などのさまざまなリスクへの対策です。

クラウド化することで、顧客情報を含めたデータは全てネットワーク上に存在することになります。これは、ログイン情報（IDとパスワード等）があれば誰でもアクセスできる可能性があるということです。そのため、システム導入後には必ず管理者のパスワードを変更しておきましょう。

また、ユーザー間で同じパスワードを使い回してはいけません。定期的なパスワード変更は、回数を重ねるごとにパスワードが簡易化してしまう恐れがあるため必須ではありませんが、担当者や所属部署の変更などがあった際には、アカウントやパスワードを再設定するなど、セキュリティ対策をとりましょう。

さらに、IDやパスワードについて、メモなどを残すことも危険です。IDとパスワードを記憶するブラウザーの機能もありますが、こういった機能を安易に使用すると、もしもその端末を置き忘れてしまったときにデータの流出が避けられなくなってしまうためです。

そのため、サービス利用者は定期的にセキュリティ研修を行いましょう。

なお、データの損失はいつ起こるかわかりません。バックアップを定期的にとるなどして、万が一データが損失した際も被害が最小限に収まるよう対処する必要があります。

クラウドサービス導入のポイント

自社の業務にクラウドサービスを導入するには、「なぜクラウドを導入するのか」「クラウドを導入するにあたっての課題はないか」「どういったサービスが必要か」などを明確にする必要があります。これらを明確にし、適切なクラウドサービスのタイプを確認してからサービスを提供する事業者の選定に入りましょう。

なお、総務省が「国民のためのサイバーセキュリティサイト」で、事業者が行うべきセキュリティ対策について、以下の項目をポイントとして掲げています。

• データセンターの物理的な情報セキュリティ対策（災害対策や侵入対策など）
• データのバックアップ
• ハードウェア機器の障害対策
• 仮想サーバーなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
• 不正アクセスの防止
• アクセスログの管理
• 通信の暗号化の有無

これらがしっかりと守られているかどうかサービス内容や契約内容を確認し、よりセキュリティ性の高い事業者を選ぶことが重要です。

大塚商会が提供するクラウドサービス

クラウドサービスには実にさまざまなソフトウェアや環境がありますが、大塚商会がご提供するクラウドサービスについて、そのいくつかをご紹介いたします。