メニュー

改めて見直すべきクラウド利用で求められる「セキュリティ対策」

 2022.06.07  CLOUDIL 【クラウディル】

便利なクラウドサービスが次々と誕生し、現在では多くの企業がビジネスに活かしています。ただ、便利な一方で、セキュリティリスクの高まりに懸念を抱く企業経営者や担当者の方も少なくないでしょう。本記事では、クラウド利用で発生するリスクの実例や、求められるセキュリティについて解説します。

クラウドセキュリティとは

クラウドセキュリティとは、クラウドサービスの利用で発生しうるリスクに対し、適切な備えをすることです。後述するように、クラウド利用にはさまざまなリスクが不随するため、企業には適切な対策が求められます。

近年は、自社で情報システムを構築・運用するオンプレミスではなく、クラウドへ移行する企業が増えてきました。基本的には「導入が容易であり、初期費用も大幅に抑えられること」が、クラウドへ移行する大きな理由と考えられます。

クラウドサービスが普及する一方で、さまざまなリスクに直面する企業が増えたのも事実です。経済産業省がクラウドセキュリティガイドラインを公表していることからも、懸念が読み取れます。次章からは、実際にどのようなリスクが考えられるのか詳しく見ていきましょう。

役割別Salesforce導入のメリット
人材難マーケットで勝ち抜く企業の黄金律

クラウドセキュリティにおける4つのリスク

クラウドセキュリティにおける主なリスクとして、「情報漏えい・データ消失・サイバー攻撃による被害・不正アクセス」などが挙げられます。では、具体的にどのような被害を受けるのかも併せて把握しておきましょう。

情報漏えい

クラウドサーバーのセキュリティ対策に穴があると、情報漏えいインシデントを招く恐れが生じます。情報漏えいの要因はさまざまですが、「悪意を持つ第三者からの不正アクセス」「マルウェアへの感染」などが代表的です。

情報漏えいは、企業としての信頼を失いかねない重大な事故です。万が一、顧客情報や機密情報が流出した場合、顧客や取引先の信頼を一瞬にして失いかねません。また、企業独自の技術やノウハウなどが流出すると、既存事業における市場のシェアが大きく変わる可能性もあります。

情報漏えいは、あらゆる企業で起こりえます。事実、行政機関や教育機関を筆頭に、さまざまな業界の企業が情報漏えいを起こしています。

データ消失

データ消失は、クラウド利用におけるもっとも大きなセキュリティリスクの1つです。クラウドサーバーのデータが消失し、しかもバックアップをとっていないとなると、重要なデータは高い確率で戻りません。

実際、過去にはクラウドサーバーのデータが消失するアクシデントも発生しています。データが消失すると、必要な情報を取り出せなくなり、業務に支障をきたします。

クラウド環境で生じるデータ消失の原因としては、サービス提供元のミスが挙げられます。上述したアクシデントも提供元のミスによる事態です。もちろん、「サイバー攻撃・マルウェアへの感染・ソフトウェアのトラブル」なども消失の要因となりえます。

サイバー攻撃

サイバー攻撃の手口はどんどん巧妙化しています。大量のデータを送りつけてサーバーへ過度な負担を与えるDoS/DDoS攻撃をはじめ、総当たりでIDやパスワードを読み解こうとするブルートフォースアタックや、フィッシングなどさまざまな種類があります。

例えば、ブルートフォースアタックでIDやパスワードが解読されると、システムに侵入され情報を窃取されるかもしれません。従業員になりすまして認証を突破し、情報の改ざんや破壊などが行われる可能性もあります。

近年ではテレワークを導入する企業が増え、それに伴いクラウドサービスを利用するシーンも増えました。このような状況も、サイバー攻撃の被害が増えている一因と言えるでしょう。実際、テレワーク環境を狙ったサイバー攻撃はいくつも報告されています。

不正アクセス

不正アクセスは情報の漏えいや改ざんなどにつながるため、セキュリティ上における重大な懸念事項の1つです。従業員のIDやパスワードを不正に入手し認証を突破する、マルウェアへ感染させるなど、手口も多種多様です。

不正アクセスにより、金銭的な被害を受ける可能性もあります。例えば、「経理担当のアカウントをのっとり、企業の銀行口座から不正に送金させる」といった手口が考えられます。また、詐取された情報を盾に、金銭を要求されるかもしれません。

クラウドサービスの形態と必要なセキュリティ

クラウドサービスの形態には主にSaaS・PaaS・IaaSがあります。それぞれどのようなサービスなのか、必要となるセキュリティ対策と併せて見ていきましょう。

SaaS

SaaSとは「Software as a Service」の略で、事業者がクラウドで提供しているサービスをオンラインで利用できる形態です。インターネット環境さえ整っていれば、さまざまな端末で利用可能で、自社でインフラの構築や運用を行う必要がないメリットもあります。

SaaSを利用する際は、事業者が適切なセキュリティ対策をしているかどうか確認し、よく比較しつつ検討しましょう。また、データへの不正アクセスを防ぐため、アクセス制限の設定も求められます。IDやパスワードを奪われると、従業員になりすまされる恐れがあるため、パスワードを使い回さないようルールを徹底したり、多重認証を採用したりするなどの対策も必要です。

PaaS

PaaSは「Platform as a Service」の略で、主にアプリケーションやシステムの開発に用いられています。クラウド上に構築されたプラットフォームを利用して開発を行えるため、わざわざ一から開発環境を整えなくてよいのがメリットです。

PaaS利用時には、脆弱性を突いたサイバー攻撃や通信データの傍受などのリスクに気をつけなくてはなりません。また、誰でもPaaSへアクセスできる環境では、情報漏えいを招く恐れもあるため、幅広い領域でのセキュリティ対策が求められます。

IaaS

IaaSは「Infrastructure as a Service」の略で、CPUやメモリなどをオンラインで利用可能なサービスです。システム開発に要するインフラのみを必要な分だけ利用でき、自由にカスタマイズして環境の構築が可能です。

IaaSも例外なく、さまざまなセキュリティリスクが介在します。サイバー攻撃や人為的なミスによる情報漏えいに加えて、サーバーダウンなどのリスクもあるため、適切な対策が必要です。
具体的には、「OSやミドルウェアのアップデートを徹底する」「アクセス権限を適切に付与する」などの対策が求められます。また、人為的なミスによるリスクを回避するため、従業員のセキュリティ意識向上にも努めましょう。

クラウドセキュリティのポイント

クラウドセキュリティを高めるポイントを押さえておけば、サービスに不安を感じている方も安心して利用できます。以下、クラウド利用時のセキュリティを高めるポイントをピックアップしました。

SSLサーバー証明書やSSHにより、通信データの暗号化を行う

基本的に、通信データはSSLやSSHにより暗号化しましょう。データの暗号化により、通信の傍受を回避できます。

組織の内部に構築したイントラネット環境であれば、通信の暗号化は不要と考える方も少なくありません。しかし、通信の盗聴や詐取などは、内部の人間が起こすケースもあるため、注意が必要です。SSLやSSHによる暗号化通信であれば、内部不正による通信の傍受も回避できます。

ワンタイムパスワードなどで厳格なアクセス制御を実施する

誰でもデータへアクセスできる状態では、いつ情報の漏えいや改ざんが起きてもおかしくありません。情報の重要度によって、適切なアクセス権限を付与しましょう。

また、堅牢な認証システムの導入も有効です。有効時間が定められているワンタイムパスワードをはじめ、クライアント認証や二段階認証なども、クラウド利用時におけるセキュリティの強化に役立ちます。

データ保管場所の明確化やバックアップの対策を行う

データセンターが海外にある場合、突然当局の検閲が入り、データを押収される恐れすらあります。国内のサービスであっても、「データ保管場所がどこなのか」を地理的に把握しておきましょう。

また、データそのものを暗号化することも、セキュリティ対策として有効です。情報を分散して保管し、特定の条件がそろわないと復元できない秘密分散も検討してみましょう。

加えて、定期的にデータのバックアップを取ることも忘れてはいけません。バックアップをとっていないと、万一サーバーからデータが消失したときに復元できないからです。こうした状況に陥れば、業務が停滞し、顧客にサービスを提供不能になる恐れすらあるため、定期的なバックアップを怠らないようにしましょう。

まとめ

業務にクラウドサービスを利用するのなら、どのようなリスクが介在するのかを把握し、適切な対策を講じなくてはなりません。利用するサービスによって、カバーすべきセキュリティの領域が異なることも覚えておきましょう。データや通信の暗号化、定期的なバックアップを実施するのはもちろん、クラウド利用におけるルールの策定や従業員への教育も、リスクを軽減するうえで重要なポイントです。

営業の現場力を鍛えれば、売上げが伸びる。そして、ビジネスが変わる。

RECENT POST「コラム」の最新記事


改めて見直すべきクラウド利用で求められる「セキュリティ対策」
メールマガジンのご案内

RECENT POST 最新記事

RANKING人気記事ランキング