働き方改革やデジタルトランスフォーメーション(DX)の進展に伴い、多くの企業がクラウドサービスの活用を始めています。オンプレミス製品と比べてコストパフォーマンスに優れ、オンライン環境さえあればどこからでも利用ができるクラウドサービスは、企業の生産性向上へ大きく貢献しています。
一方、クラウド利用にはセキュリティリスクの面で少なからず懸念があることも事実で、手放しにクラウド導入を進められないことがわかっています。
今回は、クラウドサービス利用に伴うクラウドセキュリティの重要性について解説し、クラウド利用のリスクにも触れながら、有効な対策方法について解説します。
- クラウドセキュリティとは、クラウドサービスの利用に伴い意識すべきセキュリティ対応のこと
- クラウドサービスのセキュリティには「責任分界点」が存在する
- サービス選定時は「セキュリティ基準の取得有無」や「企業ポリシーに即した運用可否」を確認するのが◎
クラウドセキュリティとは
クラウドセキュリティは、クラウドサービスの利用に伴い意識すべきセキュリティ対応のことを指します。クラウド環境はオンプレミスに比べ、セキュリティ性能に優れているという話もありますが、だからと言ってクラウドに移行すればセキュリティ対策を施さなくて良い、ということにはなりません。
クラウドを導入することで必要のなくなったセキュリティ対策もありますが、クラウド利用に際して新たに必要になるセキュリティ対策もあるため、クラウドを利用するにあたっては新しいセキュリティに対するリテラシーを身につけることが求められます。
クラウドサービスのセキュリティリスク
クラウドサービスの利用に当たっては、以下のようなリスクが想定されます。起こりうる脅威をあらかじめ理解しておき、自社の課題に応じた対策が求められます。
インフラ面のリスク
クラウド利用に当たってまず警戒すべきが、インフラ面でのリスクです。オンライン経由で各種機能を利用するクラウドサービスは、第三者に通信を傍受されることによる情報漏えいや、なりすましによって機密情報を閲覧されてしまうリスクを常にはらんでいます。
また、物理的な攻撃によって甚大な被害を被る可能性も、クラウドだからといってゼロになるわけではありません。データセンターへの不正アクセスにより、会社のサーバーが被害を受けてしまったり、ネットワーク機器が破壊されてサービスの利用ができなくなったりといったリスクも存在しています。
あるいはサーバーを保管しているデータセンターの電源喪失により、サービスの停止やバックアップデータなどが消滅してしまうといったリスクもあります。
仮想環境のリスク
クラウドを利用して、ソフトだけではなく開発環境を丸ごと仮想化して運用している企業も増加傾向にあります。仮想環境の利用にもリスクは存在しており、何らかの理由でサーバーに障害が発生した場合、仮想環境が利用できなくなることで、業務を進められない事態に発展するリスクがあるのです。
想定外の事故にも対応できるよう、運用時にはバックアップ体制の見直しが必要です。
サービス上のリスク
自社でクラウドを介したサービスの提供を行なっている場合、サーバーに対する攻撃などでシステムがダウンしてしまうと機能も停止してしまい、顧客へのサービス提供が行えなくなってしまいます。
決済サービスをクラウドで提供しているのであれば、サーバーが攻撃を受けることで決済が行えず、別の支払い手段を選ばなければいけないという状況です。顧客体験を直接的に阻害し、売上にも多大な悪影響を与えるため、確実に回避したい事態といえます。
データ管理上のリスク
クラウド利用はデータの保管と管理のために積極的に活用している企業が多い一方、扱い方を誤ったり、サーバーが攻撃を受けたりすることで情報漏えいに発展するリスクを抱えています。
ストレージへアクセスするためのIDやパスワードの流出をきっかけとしてデータ流出を招くこともあれば、あるいはユーザー側の操作ミスによって第三者に機密情報を共有してしまうケースも考えられるでしょう。
ID管理上のリスク
クラウドサービスは基本的にログインIDとパスワードがわかればどこからでもアクセスができてしまうため、IDそのものの管理がずさんであれば、ユーザー単体だけでなく、ユーザーが属する組織全体にリスクを与えてしまうこととなります。
ID管理はクラウド外で実施しなければならず、この点のセキュリティ対策の徹底が求められます。
スタッフのリスク
クラウドサービスは比較的新しいIT運用方法の一種であるだけに、クラウドサービスを利用するスタッフのリテラシーや取り扱いスキルにセキュリティリスクが左右される側面もあります。
クラウドサービスを扱う上での研修や、基本的なサイバーセキュリティ対策のための知見の共有をおこなっておかなければ、安全だと思われるサービスであってもセキュリティ上のリスクは減ることなく存在し続け、いずれ重大な問題を引き起こす恐れがあります。
クラウドとオンプレミスの主な違い
クラウドサービスが登場する以前、企業のIT活用において主流だったのは自前の環境構築、いわゆるオンプレミスでの運用です。オンプレミスとクラウドではどのような運用環境の違いがあるのか、セキュリティへの理解を深めるためにここで確認しておきましょう。
安全性の違い
クラウドとオンプレミスの最大の違いは、そのサービスを誰が運営しているかという点です。クラウドの場合、クラウドサービスを提供している事業者が運営者となります。一方、オンプレミスの場合は自社で自社向けに環境を構築し、維持管理を行うので、運営責任を自社で負わなければなりません。
そのため、クラウド利用の場合のセキュリティレベルは、クラウド事業者のポリシーに基づいて担保されますが、オンプレミスの場合は自社のポリシーに基づいた安全性が適用されます。
自社のITリテラシーが極めて高く、セキュリティ対策へのノウハウがあるのであればクラウド事業者以上のセキュリティレベルを実現することもできますが、そうでない場合はクラウド利用のほうがセキュリティレベルが高い傾向にあります。
オンプレミスよりクラウドの方が安全と言われるのは、このような背景があるためです。
データの保管場所の違い
データの保管場所も、クラウドとオンプレミスでは大きく異なります。クラウドの場合、クラウド事業者が提供しているデータセンターに設置されているサーバーへデータを保管できますが、オンプレミスの場合は自社のデータセンターか、社内に設置しているサーバーに保管することとなります。
リスクの小さい安全な場所にデータセンターを設置しているのであれば、大きな被害を受けることはありません。一方で社内にサーバーを設置している場合、サイバー攻撃だけでなく自然災害による被害を受けてしまう可能性も高いため、危険にさらされるリスクは大きくなります。
カスタマイズ性の違い
クラウドとオンプレミスでは、環境構築にあたってのカスタマイズ性能にも大きな違いがあります。クラウドの場合、基本的には事業者が提供しているサービスが全てとなるため、カスタマイズの幅は狭いことが一般的です。
一方でオンプレミスの場合、必要な機能や環境を自由に組み上げることができるため、クラウドに比べてカスタマイズ性の面では優れている傾向にあります。
また、オンプレミス環境ではインターネットではなくローカルネット環境で機能を利用できるため、不要にインターネットに接続しないことで余計なリスクを回避できることも利点です。
コストの違い
クラウドとオンプレミスを比較する上で大きなポイントとなるのが、コストパフォーマンス面での問題です。
クラウドの場合、サービスの利用にあたって必要な費用は月額や年額で徴収されるサブスクリプション料金、あるいはサービスの利用量に応じた従量課金のみであることが多いため、コストパフォーマンスが高いのが特徴です。
一方でオンプレミスの場合、満足のいく環境構築を実現しようとすると、どうしても初期費用が高額になってしまうため、長期的な環境運用で減価償却に取り組まなければなりません。
また、サービス利用のためのメンテナンスも、クラウドはクラウド事業者が負担してくれる一方、オンプレミスでは自社で実施しなければならず、継続利用に伴う維持管理負担が発生する点も考慮する必要があります。
クラウドサービスの責任分界点
クラウドサービスの利用には相応のリスクが伴うものの、クラウド利用による責任の全てをユーザーが背負わなければならない、というわけではありません。
クラウドサービスにはサービスの内容に応じて、「誰がどの範囲に責任を負うか?」ということを決める責任分界点と呼ばれる指標が存在します。
SaaS・IaaS・PaaSの違い
責任分界点を比較する前に、まずはクラウドサービスの大まかな分類について理解しておきましょう。一般にクラウドサービスには「SaaS」「IaaS」「PaaS」と呼ばれる3つの種類が存在し、それぞれで異なるサービスを提供しています。
SaaS
SaaS(サーズ)は「Software as a Service」の略称で、クラウド上で利用できるソフトウェアのことを指します。メールやチャット、オンラインストレージなどのサービスの多くはSaaSであり、身近なクラウドサービスの多くはSaaSと言えます。
最近ではECサイト構築キットや決済システム、ゲーム、ASPといったさまざまなサービスがクラウドで提供されているため、SaaSがなければビジネスが成り立たないという事業者も少なくないでしょう。
IaaS
IaaS(アイアース)は「Infrastructure as a Service」の略称で、インフラ環境を整備する際に活躍しているクラウドサービスを指します。
企業内のネットワークやサーバーなどIT活用に欠かせないインフラ環境を仮想的に提供し、ハードウェアの調達や開発環境の整備に必要なコストを削減するのに役立てられています。
サーバーレスなインフラを整備する上で、IaaSは欠かせないサービスと言えるでしょう。
PaaS
PaaS(パース)は「Platform as a Service」の略称で、アプリケーションの開発や実行のための環境を提供するクラウドサービスを指します。エンジニアは開発環境をゼロから構築する必要がなくなるので、コスト削減や業務効率化において大きなメリットが得られます。
開発フレームワークやプログラミング言語の構築をクラウドに任せてしまうことができ、迅速なアプリ開発を促す上で重要なサービスと言えます。
それぞれの責任分界点はどのように定義されているか
SaaS、IaaS、PaaSは提供するサービスが異なるだけでなく、それぞれのカテゴリに応じて責任分界点が異なります。
SaaSの責任分界点
SaaS利用の場合、サービス利用者の責任の範囲はサービス上で設定したIDや機能、そして生成したデータといった部分となります。
ソフトウェアの機能や、それを管理しているサーバーの責任はクラウド事業者が全てを担うことになるので、自社でセキュリティ対策をサーバーレベルまで実行する必要はありません。
逆を言えば、クラウド事業者のセキュリティポリシーが自社よりも程度の低いものとなる場合、セキュリティレベルは低下することになるため注意が必要です。
IaaSの責任分界点
IaaSの責任分界点は、OSより上の領域全てがユーザーの責任となります。IaaSは汎用的な環境構築が行える分、ユーザー側で対応しなければならないセキュリティ責任も大きくなります。
仮想サーバーそのものに対する責任こそクラウド事業者が担当してくれるものの、それ以外のセキュリティについては自社での対応が必要です。
PaaSの責任分界点
PaaSの責任分界点は、アプリケーション開発にあります。クラウド事業者はアプリケーション開発のための環境を提供するので、その点については責任を持ってくれるものの、開発アプリそのもののセキュリティについてはユーザーが対処する必要があります。
そのため、アプリを開発してリリースした後、アプリ上で情報流出などが発生した場合には、アプリを開発したクラウドサービス利用者がその責任を取らなければならないため、セキュリティ対策には万全を期す必要があるでしょう。
クラウドサービスのセキュリティリスク対策
クラウドサービスの利用にあたっては、その利用状況に応じて適切なセキュリティリスク対策がユーザーに求められます。クラウドサービス利用に伴うセキュリティ対策としては、以下のような方法が挙げられます。
IDとパスワードの漏えい対策を徹底する
すぐに実施できるクラウドサービス利用に向けたセキュリティ対策としては、アカウントIDとパスワード管理の徹底です。
どれだけ強固にクラウドサービスのセキュリティ対策が施されていたとしても、アクセスを可能にするIDとパスワード情報がユーザーから流出してしまっては、十分なセキュリティ対策を実現することはできません。
IDの管理をスタッフに任せるのではなく、企業で一元的に管理する仕組みを整備したり、ワンタイムパスワードなどを使ってパスワード情報が流出しても被害を回避できる仕組みを構築したりといった取り組みが求められます。
アカウント権限を細かく設定する
ID情報に基づくアカウント権限を見直すのも、被害拡大を抑制する上では重要な取り組みです。
アカウント権限が細かく設定されていないと、末端のスタッフのIDから企業の機密情報にアクセスできてしまい情報流出のリスクが高まります。
できる限りアクセス権限を詳細に設定し、万が一ID情報が流出しても最小限に被害を抑えられる仕組みづくりが大切です。
通信環境を見直す
通信の暗号化が施されているかどうかの確認なども見逃せない対策です。第三者が容易に通信を傍受できる状況だと、ユーザーや事業者が対策を施しても情報は筒抜けとなってしまいます。
SSL暗号化通信の導入や、VPNの利用によってリスクの回避に努めましょう。
クラウドサービスの選び方【セキュリティ視点】
クラウド利用に伴うリスク回避を実現するためには、セキュリティ対策に優れたクラウドサービスを選定することが大切です。クラウドサービス選びのポイントについて、セキュリティの観点から確認しておきましょう。
クラウドサービスに特化したセキュリティ基準の取得有無
クラウドサービスは事業者ごとにさまざまなポリシーが設定されていますが、客観的にそれらを評価するための基準として、セキュリティ基準の取得の有無が挙げられます。
代表的な例としては、
- ISMSクラウドセキュリティ認証(ISO27001/ISO27017)
- CSA STAR認証(CSA Security)
- CSマーク
といった認証が挙げられます。
ISMSクラウドセキュリティ認証は世界標準のセキュリティ認証規格で、グローバルスタンダードな認証基準をクリアしている証です。
CSA STAR認証もアメリカを中心とした世界標準の認証規格で、セキュリティレベルに応じて3段階にわたる認証が用意されています。
CSマークは日本独自規格の認証ですが、ISMSに準拠した認証基準を有しており、高いセキュリティレベルを担保します。
これらの認証に対する理解を深め、セキュリティリスクの小さい適切なクラウドサービスを選ぶと良いでしょう。
企業ポリシーに即した運用が実現可能かどうか
企業のポリシーとクラウドサービスの機能のギャップに目を向けることも、クラウドサービス選びにおいては大切です。
自社で敷いているセキュリティ基準を満たせる暗号化通信やサポート対応などのサービスが受けられるクラウドサービスでなければ、安全に機能を利用することができず導入にリスクを伴います。
あらかじめ自社で定めているポリシーにも目を向け、適切なセキュリティ基準を満たしているかどうかを検討しておきましょう。
総務省の「クラウドセキュリティガイドライン」 について
総務省ではクラウドサービスを標的としたサイバー犯罪対策の一環として、ガイドラインの提供を実施しています。
「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表
自社でクラウド運用に向けたセキュリティ対策を進めていく場合、何から手をつければ良いかわからないという方もきっと多いかと思われますが、ガイドラインに定められた対策を施しておくことで基本的なセキュリティ対策を実現できます。
「国民のためのサイバーセキュリティサイト」も参考に
またクラウドサービスのみならず一般的な情報セキュリティに対する知見を深めたい場合には、「国民のためのサイバーセキュリティサイト」も参考になります。
クラウド利用に限らず、ITに対するリテラシー向上を進めたいと考えている場合には、こちらも目を通しておくことをおすすめします。
クラウド活用にはセキュリティリスクへの対策が必須
クラウドサービスは便利な反面、事前にセキュリティリスクへの対策も十分に進めておく必要があります。自社での運用体制を見直すとともに、クラウドサービスの選定においてもポリシーや第三者の認証に基づく意思決定が大切です。
サイバー犯罪の増加に伴い、リスクそのものが大きくなっている昨今では、ITリテラシーを組織全体で向上し、被害を最小限に抑える努力も求められています。