近年、オンプレミスからクラウドへの移行を検討している企業が増えています。クラウドを使用する際の懸念事項として、主にセキュリティ対策が挙げられます。クラウドの概要や情報セキュリティの三大要素、オンプレミスとクラウドでのセキュリティ対策の違いなどを解説した本記事を踏まえて、セキュリティ対策の不安を取り除きましょう。
今注目のクラウドサービスとは
クラウドは「クラウドコンピューティング」とも呼ばれ、ユーザーがインフラを持ったり、ソフトウェアをインストールしたりしなくとも、ネットを通過してサービスの活用が可能です。インフラの整備やソフトウェアのインストール、といった作業工程が削られることで、運用がスムーズになります。
クラウドとひと言でくくっても、それが指す意味は非常に広く、あらゆる解釈が出やすい言葉です。そのため、現在では使用形態に応じて、「SaaS」「PaaS」「IaaS」の3つに区分されています。
SaaS(サース)
「Software as a Service」の略称で、これまで製品化されていたものをインストールせずに、ネットを通してサービスを活用できます。PCではなくネット上へのデータ保存や、デバイスを選ばずにデータへのアクセス・取得が叶います。さらに、複数人で同時にデータの使用・編集を行える点も、便利なメリットです。
SaaSの典型的なサービスとして、「Dropbox」や「Salesforce」、「Google Workspace」などが挙げられます。
PaaS(パース)
「Platform as a Service」の略称で、アプリを稼働させるために欠かせない、開発ツールやOS、データベースなどのプラットフォームを、ネット上のサービスとして提供するものです。SaaSをさらに深堀りしたものであるため、企業の開発者はシステム設計に則り、スピードを維持しながら、コストのかからない開発を進められるので、非常に有益でしょう。
PaaSの典型的なサービスとして、「Microsoft Azure」や「Google App Engine」などが挙げられます。
IaaS(イァース)
「Infrastructure as a Service」の略称で、情報システムの運用に欠かせない、ネットワークなどのインフラや仮想サーバを、ネットに通してサービスとして提供するものです。
サーバやストレージなどをはじめ、CPUやメモリなどをクラウドで提供するサービスが、これに区分されます。サーバを活用する際に必須となるハードウェアのOSなどは、ユーザー自身が自由に選択し、ネットワークを通して活用されます。
IaaSの典型的なサービスとして、「Amazon Elastic Compute Cloud(Amazon EC2)」や「Google Compute Engine(GCP)」などが挙げられます。
クラウドサービスは豊富にそろっており、その責任範囲はそれぞれ異なることを覚えておきましょう。
![[App&Data]真のデータドリブン ビジネスを実現するためにデータが価値を生むためのクラウド最適解](https://www.cloud-for-all.com/hubfs/images/cta/middle/hub_generated/d6644e4d-6470-47d6-8817-0bb08f8d2184.png "[App&Data]真のデータドリブン ビジネスを実現するためにデータが価値を生むためのクラウド最適解")
オンプレミスとクラウドの比較
ここ数年で、オンプレミスからクラウドへと移行して、サービスを運用している企業が増えています。双方を比較した際、それぞれにどのような違いがあるのか、以下で解説します。
コスト
オンプレミスの場合、導入時にサーバやソフトウェアの準備、システムの構築といった、多額の初期費用が発生します。一方で、クラウドの場合はサーバやソフトウェアの準備費用がかからないため、コストを抑えられます。
ランニングコストとしては、オンプレミスの場合、運用に必須であるサーバ担当者の人件費や電気代といった、関連費用がかかるでしょう。その点、クラウドの場合は、月額や年額のシステム使用料が発生します。
保守点検
オンプレミスの場合、社内のシステム担当者が、サーバメンテナンスやWindows Update、障害対応などのあらゆる業務を日々行わなければなりません。一方で、クラウドの場合は依頼している業者が担当するため、社内での対応は不要です。
拡張性
オンプレミスの場合、拡張するためのサーバ構築などは欠かせないので、そう簡単にはいきません。その点、クラウドの場合では、ネット上でサーバの台数を増やすなど、環境に適した設定・変更をスムーズに行えます。
セキュリティ
オンプレミスの場合、基本的に自社で運用しているので、外部ネットワークの状況に左右されることなく、セキュリティ性は高いといえるでしょう。ただ、セキュリティを維持するための人件費は発生してしまいます。
その点、クラウドの場合は、業者のセキュリティ対策の内容によって、状況が変わってきます。一時期は、ネットを通過するため、セキュリティリスクが大きいイメージを持たれていましたが、日々進化しており、近年その不安も軽減されてきています。
クラウド移行の際のセキュリティ対策について
クラウドに移行する際に、最も懸念すべきことが、セキュリティ対策です。ウイルス感染やサイバー攻撃などの被害に遭ってしまった場合、企業のイメージダウンや利益損失は計り知れないものになるでしょう。
情報セキュリティの三大要素とは
企業における「情報セキュリティ」とは、所有している情報資産の三大要素である、「機密性」「完全性」「可用性」を脅かすものから保守することです。
情報資産は、企業内で所有している情報全般を表します。取引先の顧客情報やそれらを記載したExcelなどのデータ、送受信したメールの履歴、USBや紙で保管している資料も、すべて情報資産に含まれるのです。
【機密性】
社内やチームで許可された人だけが、アクセスできるように設定されます。不特定多数の人による、不正アクセスや情報の閲覧、データの上書きなどを予防し、保守することが重要です。
【完全性】
セキュリティ対策を講じて、常に情報が完璧な状態であることをいいます。ファイルの情報などが、第三者に改ざんされずに、保管されていることが大前提です。
【可用性】
許可された人が問題なくアクセスできることや、障害などが発生してもすぐに復旧されることを施します。常にシステムが正常に運用することで、可用性が維持されます。
4つのセキュリティ要件とは
情報セキュリティには、前述した三大要素に加えて、「真正性」「信頼性」「責任追跡性」「否認防止」の4つの要件が挙げられます。
【真正性】
的確な情報が存在し、許可された人が本物であると証明された場合のみ、アクセスできる状態にします。それを具体的な施策として開発されたものが、デジタル署名や二段階認証、多要素認証などです。
【信頼性】
データおよびシステムが設定された環境上で、意図した通りに動作されます。信頼性が高ければ高いほど、バグや障害が発生する確率を低く保てます。システム構築や設計段階で、しっかり確認を行うことが重要でしょう。
【責任追跡性】
個人や組織が行った一連の動きをフォローすることで、データやシステムを脅かす人・ものを特定できます。具体的な対策として、デジタル署名やログイン履歴、アクセスログを残すことなどが挙げられます。
【否認防止】
情報や行った内容について正しく証明し、以後否定されないように防止します。責任追跡性と同様、デジタル署名などの対策を講じることが必要不可欠です。
オンプレミス環境におけるセキュリティ対策
オンプレミスは、自社で抱えた担当者が管理するため、基本的にセキュリティ性は高く保てます。日々のサーバの運用や管理、インフラの整備などは、社内のセキュリティマニュアルに則って行われるため、スムーズに運用できるでしょう。
セキュリティマニュアルを社内で作成し、アクセス制限を設定することで、不正アクセスの侵入も防げます。社内の人が監視を行えば、より安全性が確保できるといえます。
クラウド環境におけるセキュリティ対策
クラウド環境は、普遍的にセキュリティ対策が難しいとされています。社内のサーバではなくネット回線を使用することや、クラウドサービスの提供者に管理を委ねることで、社内負担の軽減が期待されますが、セキュリティ対策も依存することになりかねます。
クラウドサービスを導入する際は、一例ですが、提供者が以下のセキュリティ対策を講じていることを、事前に確認しましょう。
- データセンターの情報セキュリティ対策(侵入時や災害時など)
- データのバックアップ
- ハードウェア機器のバグや障害の発生時の対策
- 仮想サーバをはじめとした、ホスト側のソフトウェアやOS、アプリケーションの脆弱性対策
- ワンタイムパスワードやユーザー認証を用いた、厳重なアクセス制御
- 通信データの暗号化
また、近年モバイル端末の普及が加速し、スマートフォンをはじめとした、個人で所有しているデバイスを、会社の業務で使用する「BYOD(Bring Your Own Device)」についても、セキュリティリスクが懸念されています。
業務外のプライベートでの、さまざまなサイトの閲覧や、アプリのインストールなどで、マルウェアなどの感染リスクが一気に高まります。特定の個人を狙い撃ちする、「APT攻撃」にも注意を払わなくてはなりません。気付かないうちに不正アクセスを進めてしまい、企業の機密情報が漏えいしたり、システム情報が改ざんされたりするケースもあります。業務時間外に、第三者がスマートフォンを操作する可能性を否めないため、リスクに対する懸念はさらに膨らむばかりです。
業務でBYODを使用する場合、社内で運用ルールを制定し、従業員へ周知させることはもちろん、個人がセキュリティリスクへの意識を高く持つよう教育することも重要です。
Microsoft Azureについて
マイクロソフト社が開発した製品で、毎年セキュリティ対策に10億ドルを超える投資をしています。3,500人を超えるセキュリティ人員を配置し、他のクラウドサービスやプロバイダーを上回るコンプライアンス認定を受けていることが特徴です。
Azureのセキュリティについて
ID管理やアクセス権の制御、ネットワークのセキュリティ保護、データ保護をはじめ、キーやシークレット、および証明書の管理などを行っています。一元的な視覚化と攻撃の予防に努め、AIによるウイルスの早期発見も稼働しているため、信頼性の高いサービスを受けられるでしょう。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
オンプレミスからクラウドへ移行する場合、信頼性の高いセキュリティ対策を講じている事業者を選ぶことが重要です。Microsoft Azureを活用すれば、アクセス制限やデータ・ネットワークの管理はもちろん、AIによるウイルスの早期発見まで行っています。クラウドの導入を検討している企業担当者は、参考にしてみてください。
