こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
ビジネスにおけるクラウドの利用は、増加傾向にあります。近年では、ビジネスをより効率的で柔軟にするクラウドサービスが続々とリリースされ、さまざまなシーンで活用されるようになりました。
しかし、ビジネスでクラウドを活用するにあたって気になるのがセキュリティ面。
クラウドにはクラウドならではのリスクがあり、そのリスクに備える「クラウドセキュリティ」への意識は、安全に情報を取り扱うにあたって重要です。
そこで今回は、クラウドサービスを選ぶ時のポイントとしてチェックしておきたい「クラウドセキュリティ」について詳しく解説していきます。クラウドのリスクやセキュリティ対策を知り、安全で便利にクラウドサービスを利用しましょう。
クラウドセキュリティとは
ビジネスシーンでクラウドを利用するにあたって重要なのが、そのセキュリティです。
システムはインターネット経由でサービスを利用する「クラウド型」と、自社のサーバー内でサービス運用を行う「オンプレミス型」の2種に分かれます。その中で、クラウド型の特性故に起こりうるリスクに対するセキュリティのことを、「クラウドセキュリティ」と呼びます。
クラウド型にどのようなリスクがあり、どのようなセキュリティ対策が取られているのかについては次章以降で解説しますが、業務効率化やテレワーク推進によって一般社員のクラウド利用も増えていく中で、クラウドセキュリティに対する会社全体での理解と意識は、安全なクラウド活用にあたって非常に重要です。
クラウドのセキュリティに不安を持たれる理由
クラウド型のシステムが、オンプレミス型に比べセキュリティに対する不安を持たれやすいのはなぜなのでしょうか。
その理由は、「外部との接続が必要だから」です。
オンプレミス型のシステムは、自社サーバで運用が完結し、外部との接続は必要ありません。そのため、情報漏洩などのリスクは起こりにくいと考える人が多く、一般的に安全性が高いというイメージを持たれています。
一方のクラウド型システムは、インターネット経由での使用が基本。データもクラウド上に保存されていきます。
自社サーバではなくインターネット上で使用や保存が行われることにより、第三者からの不正アクセスや攻撃、情報漏洩などのリスクが起きやすいというイメージが持たれやすいのですね。
また、クラウド型システムのセキュリティ対策は、サービスを提供するベンダー側が担います。そのため、「どんな対策が行われているのか」が見えにくい点も、クラウド型のセキュリティが不安を持たれやすい理由のひとつでしょう。
クラウド型のリスク
では、クラウド型のシステムには具体的にどのようなリスクがあるのでしょうか。
主な3つのリスクを見ていきましょう。
①情報漏洩
クラウド型システムには、システム障害等のトラブルによって、外部へ情報が漏洩してしまうリスクがあります。会社の機密情報や顧客情報が漏洩してしまうと、会社の信用性は損なわれてしまいます。
②第三者による悪用
ウイルス感染等による第三者からの不正アクセスによって、情報が流出し、さらにその情報が悪用されてしまうことも、クラウド型システムのリスクとして考えられます。さらに、アカウントIDやパスワードが他のシステムと使い回しされていた場合、その被害は他のシステムへと拡大する恐れもあります。
③データ破損
システム障害によって、クラウド上に保管していたデータが破損してしまうリスクも、クラウド型システムは抱えています。そのシステムだけにデータを保管していると、システム障害が起きた時に、完全にデータが失われてしまう可能性があるため、別システムへバックアップを取っておくことが大切です。
クラウドサービスのベンダーが行っているセキュリティ対策
クラウドサービスの主要なセキュリティ対策は、サービスを提供するベンダー側が行なっています。その例としては、以下のようなものがあります。
・アクセス制限や遮断(特定のIPアドレスや不審アクセスに対し)
・通信、データの暗号化オプション
・データバックアップ
・不正アクセス防止
・サービスの脆弱性に対する判定と対策
・DDoS(複数のコンピュータから大量に行われるサイバー攻撃)対策のためのアクセス制御やオートスケーリング
・データセンターの物理的障害対策(災害や侵入対策)
・ログの管理、取得による状況把握と現状回復
上記は一例で、行われているセキュリティ対策は、サービスやベンダーによって異なります。クラウドサービス導入時には、どのようなセキュリティ対策を行なっているか、ベンダー側によく確認しておくようにしてください。
クラウドサービスのユーザーに求められる対策
クラウドサービスの利用にあたっては、セキュリティをベンダー側に完全に任せて良いわけではありません。ユーザー側にも、一定の安全対策が求められます。
クラウドサービスの利用におけるユーザー側のセキュリティ対策には、以下のようなものがあります。
・パスワードの適正管理(使い回しや推測されやすいパスワードの禁止)
・二段階認証の導入
・アクセス権限やID管理の厳格化
・ウィルス対策ソフトウェアの利用
・システムの脆弱性対策
・ブルートフォースアタック対策(認証強化やログインロック)
・通信データの暗号化と暗号化キーの適正管理
・安全な接続方式の利用
・定期的なデータのバックアップ
・メールフィルター設定
・パソコン以外のデバイスにおけるセキュリティ対策
何らかのトラブルにより情報が漏洩してしまえば、それを元に戻すことはできません。クラウドサービスの利用にあたっては、上記を一例に、ユーザー側でも強固なセキュリティ対策を行なっておく必要があります。
また、人為的な情報漏洩を防ぐためのガイドライン作りも必要でしょう。
クラウドサービスを選ぶ際のポイント
クラウドサービスには、さまざま種類があります。導入するサービスを選ぶ時には、機能や価格にばかり目がいきがちですが、安全にビジネスを進めるためには、セキュリティ面も重視しましょう。
特に以下の5点は、クラウドサービス選定時によく確認するようにしてください。
ベンダーの信頼性を確認
クラウドサービスを安全に利用するには、提供側のベンダーの信頼性を確認しておくことが大切です。財務情報や情報セキュリティ方針、認証・認定制度の取得状況、関連法の遵守など基本情報の確認とともに、利用者の口コミなども調べておくようにしましょう。
公開されているセキュリティ情報をチェック
クラウドサービスのホームページや資料には、多くの場合、サービス運営においてどのようなセキュリティ対策を行っているかが記載されています。その内容はしっかりと調べておいてください。
また、トラブルに対する対応方法やサポート、責任の範囲についても、公開情報を確認しておきましょう。
データセンターの情報セキュリティ対策
クラウドサービス選定時には、データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)や、ソフトウェアの情報セキュリティ対策についても、チェックしておく必要があります。
また、トラブルが実際に起こった場合の備えや対応についても、ベンダーに確認するようにしてください。
通信の暗号化の有無
通信の暗号化は、セキュリティ対策として必須です。サービス選定時には、通信の暗号化オプションの有無と設定方法、ログイン情報の暗号化の有無、WebサイトのSSL化の有無等を確認してください。
ユーザー側のセキュリティ対策に対するサポート
セキュリティ対策を万全にするなら、ユーザー側のセキュリティ対策に対するサポートを手厚く行なっているサービスを選ぶのが望ましいでしょう。また、ユーザー側でのセキュリティ設定のしやすさにも注目してください。
まとめ
クラウドサービスは、その導入のしやすさや使いやすさ、運用のしやすさによって、ビジネスの効率性を向上させてくれる便利なシステムです。しかし、その利用には一定のリスクがあり、リスク回避のためのセキュリティ対策が必須であることを押さえておきましょう。
セキュリティに対する対策をしっかりと取っておけば、リスクに怯えることなく、より有効にクラウドサービスをビジネス活用することができますよ。
クラウドサービスのセキュリティに関するよくある質問
クラウドは安全ですか?
クラウドサービス上のデータは、原則として事業者によって適切に管理されますが、実際にはデータの消失や漏洩などの問題が発生することがあります。従って、クラウドサービスに過度に依存せず、脅威に対する適切な対策を講じることが重要です。
具体的に取るべきセキュリティ対策などは、クラウドサービスのユーザーに求められる対策をご覧ください。
クラウドの設定ミスの割合は?
Varonisの調査によると、クラウドネイティブアプリケーションにおける設定ミスが原因でデータ漏えいが発生した事件の割合は81%に上るとされています。また、Gartnerによると、2025年までに、クラウドセキュリティインシデントの90%は、顧客のミスによるものと予測されています。
参照:
Varonis:https://www.varonis.com/blog/cloud-security-statistics/
Gartner:https://www.gartner.com/en/newsroom/press-releases/2021-08-25-gartner-predicts-through-2025-90-percent-of-cloud-secu
Gmailのリスクは?
Gmailのリスクとしては、以下のようなものが挙げられます。
- パスワード:不正アクセス、脆弱なパスワードでのリスク
- スパム:自動フィルタリングできず、不審メールでの情報盗難のリスク
- データ収集:Googleによる個人情報収集の懸念
- サービス停止:サービス停止によるアクセス不能のリスク
以上のようなリスクがありますが、Gmailは多くのセキュリティ機能を備えており、適切なセキュリティ対策を講じることで、安全に利用することができます。
