クラウドセキュリティとは?意識すべきポイントを解説

クラウドセキュリティとは?意識すべきポイントを解説

クラウドの導入を検討しているものの、セキュリティが不安で踏み切れないという声は少なくありません。そこで、大切な情報を保護するためのクラウドセキュリティへの理解が求められます。ここでは、クラウドセキュリティの重要性や大切なポイント、安全性の高さなどについてお伝えします。クラウド導入の参考になれば幸いです。

cloud-security

クラウドセキュリティが大切な理由

クラウドサービスは、インターネットを介して利用するサービスです。オンラインで利用する以上、セキュリティに対して不安を覚えるのはごく自然な反応。では、どうしてクラウドセキュリティがそこまで大切なのでしょうか。

それには情報漏洩の脅威が挙げられます。会社にとって大切な情報、顧客のデータなどが外部に流出してしまうと、大きな損害を被る可能性があります。取引先や顧客に迷惑をかける恐れもあり、今後事業を継続できなくなる可能性も否定できないでしょう。

クラウドはインターネットなどの回線を通じてサービスを利用します。オンプレミスだと自社で構築したシステムを利用することになりますが、クラウドは重要なデータなどもサービス事業者のデータセンターで管理します。

インターネットを通じてサービスを利用するという性質上、どうしても心配になるのがセキュリティです。閉鎖されたネットワークを使うオンプレミスとは違い、インターネットを利用するため第三者によるアクセスや攻撃が生じる可能性があるのです。

悪意ある第三者から不正アクセスされた場合、さまざまなリスクが考えられます。まず考えられるのが情報の漏洩です。企業機密のような重要度の高い情報が社外に漏洩した場合、企業としての今後に関わる大問題となる恐れがあります。また、取引先や顧客に関する情報が漏れたとなると、企業としての信頼を失い、事業を継続できなくなるかもしれません。

情報漏洩以外にもリスクはあります。盗聴やデータの改ざんなどです。大切なデータを改ざんされたとなると、ビジネスに深刻な影響を与えてしまう可能性があります。盗聴も同様でしょう。
インターネットを介してサービスを利用するクラウドだからこそ、クラウドセキュリティには神経質にならなくてはなりません。しかし、実際のところ本当にクラウドはセキュリティが脆弱なのでしょうか。

クラウドの安全性

現在ではさまざまなクラウドサービスがあるため一概にいえませんが、クラウドだからこそ安全性は高い側面があります。確かに、オンラインでサービスを利用するため第三者による攻撃などが起きる可能性はありますが、だからこそサービスを提供する事業者は強固なセキュリティ対策を施しているのです。

トランクルームのような貸倉庫をイメージしてみましょう。トランクルームでは多くの顧客からたくさんの荷物を預かっています。顧客から預かった大切な荷物が盗難などに遭うと、企業としての信頼を失ってしまいます。そのため、トランクルームでは十分な警備体制を敷き、ちょっとやそっとでは壊れない強固な扉を設置するなどして対策しているのです。

クラウドのデータセンターでも同様に、さまざまな企業からのデータが集まっています。そこを攻撃されて顧客に不利益を与えたとなると、サービス事業者の信頼は地に堕ちるでしょう。そのため、データセンターは堅牢なセキュリティ体制を整えています。情報セキュリティのスペシャリストも加わり、徹底した体制で顧客の資産を守っているのです。

クラウドセキュリティで意識するべきポイント

クラウドサービスを提供する事業者の多くはクラウドセキュリティの強化に力を入れていますが、それでもまだ不安という方もいるでしょう。今後クラウドの利用を考えている方がセキュリティの観点から気をつけるべき主なポイントは以下の通りです。

通信データの暗号化

クラウドサービスを利用した場合、利用者のデータは事業者のデータセンターで管理されます。オンラインでサービスを利用するため、情報漏洩やデータ改ざんなどのリスクが発生する可能性は否めません。

リスクを回避するためには、やり取りするデータの暗号化が必要です。具体的にはSSLによる通信データの暗号化や、SSL サーバー証明書、SSHなどを用いることになるでしょう。プライベートクラウドであっても、組織内部からの攻撃を防げます。

安全を意識したシステムの構築

近年では、クロスサイトスクリプト攻撃やインジェクション攻撃などのサイバー攻撃が増えています。またアプリケーションを狙ったクラッキングも多く見られます。こうした攻撃を受けたときには、できるだけその影響を小さく留める必要があります。
そのためには、外部からの診断テストを一定のスパンで行うなどの対策が必要です。診断を定期的に繰り返すことで安全性の高いアプリケーション、OSの構築も可能となるでしょう。
また、マルウェアスキャンや、ウェブアプリケーションファイアウォールなどの導入も効果的です。攻撃を未然に予防する、被害を迅速に察知するといったことが可能になります。

アクセス制御を強固に

不正アクセスやなりすましによるデータ改ざんなどを回避するためには、権限の設定が不可欠です。つまりユーザーができることを決めてしまう、ということです。具体的な対策としては、SSLクライアント認証やワンタイムパスワードなどが考えられます。ワンタイムパスワードは、インターネットバンクなど極めて重要な個人情報を扱う場所でも採用されているため、安全性の高さが理解できるでしょう。

パスワードやIDについても、すぐに推測されてしまうようなものは登録を不能にし、また、できるだけこまめに変更させるような設定にしなくてはなりません。

バックアップ対策

サービスを提供する事業者がどこにデータセンターを設置しているのかを確認することが大切です。例えば、データセンターが海外にある場合だと、政府がデータの検閲を行うことも考えられます。実際、アメリカではFBIや政府が国内に拠点をおくサーバーのデータへの調査権限を持っているのです。

その結果、サーバーが押収されたとなるとどうでしょうか。大切なデータを取り戻せなくなり、事業に大きな影響を与えてしまうかもしれません。こうしたことにならないよう、できるだけ定期的にバックアップは取るべきだと考えられます。

サービス選び

現在では実にたくさんのクラウド事業者が存在します。提供しているサービスの内容や品質などはさまざまですが、数多く存在する事業者の中から選ぶ必要があるため慎重にならなくてはなりません。
クラウドを利用するということは、会社で行っている業務を部分的にアウトソースするということです。大切な業務を部分的とはいえ任せるわけなので、クラウド事業者選びは非常に重要です。事業者の管理体制やセキュリティ対策、障害が発生した際のサポート体制や復旧窓口、あるいは残存リスクなど確認しておくべき点は多数あります。

また、もし、契約した事業者の経営状況が極めて悪かった場合どうなるでしょうか。途中でサービスが終了し、大切なデータがすべて失われてしまう可能性があります。サービスの内容が変更になる、クオリティが著しく低下するといったことも考えられるでしょう。

こうしたリスクを避けるためにも、サービスの仕様書や契約書の内容をきちんと確認することはもちろん、できることなら実際に事業者へヒアリングも行うとよいでしょう。事業者の経営状況のチェック、過去の導入実績なども確認しておくとなお安心です。事業者の経営状況など自社で調べられないことも多いので、その場合にはコンサルティング会社に選定を依頼する方法もあります。

クラウドサービスはセキュリティに不安がある、と考える方は少なくありません。では、実際のところ本当にオンプレミスなどと比較して、セキュリティに不安は残るのでしょうか。クラウドセキュリティの安全性、オンプレミスと比較した内容などをお伝えします。

オンプレミスとの比較

オンプレミスとは、自社でシステムを構築することを指します。クラウドのようにインターネットを介してアプリケーションを利用するのではなく、自社でサーバーを構え、社内にネットワークを構築するのです。

かつてはオンプレミスが主流でしたが、クラウドの台頭によって次第に移行する企業が増えています。では、セキュリティ面に関してオンプレミスとクラウドでは、どちらが優れているのでしょうか。

オンプレミスの場合、基本的に自社内の閉鎖されたシステムを構築しているため、セキュリティ面は安全といえます。外部のサービスを利用するわけではないので、第三者から攻撃を受ける可能性が低い、ということです。ただ、システムによっては外部とオンラインで繋がることもあるため、絶対に安心ともいえません。

ただ、オンプレミスは自社でセキュリティレベルを強化できます。ゼロからシステムを作り上げ、運用や管理まで自社で行うため、セキュリティレベルの追及は不可欠です。これはオンプレミスならではの大きなメリットでもあり、デメリットでもあります。

というのも、自社で運用管理、保守まで行うオンプレミスだと、セキュリティに関するシステムを自社でアップデートしなくてはなりません。新しい攻撃手法が登場するたびに、アップデートを繰り返す必要があるのです。

クラウドだと、常に最新のセキュリティ体制が整えられています。また、すべてサービス提供事業者が行ってくれるので、ユーザーが取り立てて何かを行う必要はありません。

セキュリティに関しては、オンプレミスにもクラウドにも一長一短があります。そのため、一概にどちらがよいとは断言できません。常に自分たちで最高水準のセキュリティを追及したいのならオンプレミス、最新のセキュリティで更新もすべて任せたいのならクラウド、という決め方でもよいでしょう。

事業者選びの重要性

クラウドサービスを提供する事業者は数多く存在しますが、セキュリティのことを考えると事業者選びは非常に重要です。なぜなら、事業者によってセキュリティに対してどのように考えているか、具体的にどのような対策をしているかが異なるからです。

サービス提供事業者の事業規模もさまざまで、中小規模の事業者もいれば、大手のITベンダーもいます。大手だからといって必ずしも高水準なセキュリティ体制を整えているとは限らず、むしろ中小規模の事業者のほうがしっかりした体制を整えていることも考えられます。

サービス提供事業者を選ぶときには、具体的にどのようなセキュリティ体制を整えているのかを確認し、比較することも大切です。安全性に関するポリシーをきちんと打ち出しているかどうかも確認してみましょう。

また、直接事業者に対してヒアリングしてみるのもよいかもしれません。万が一、情報漏洩などが起きたときの責任の所在、保証などについても事前に確認しておきましょう。

例えばマイクロソフトではAzureのセキュリティに関して以下のようなドキュメントを用意しています。一度、確認すると良いでしょう。

参考ページ:Microsoft Azureのセキュリティドキュメント

適切な対策でリスクを最小限に

インターネットを介して利用するクラウドサービスである以上、完璧なセキュリティというのは存在しません。インターネットの世界は移り変わりも速く、新たな脅威は次から次へと誕生しているような状況です。適切な対策を施していたとしても、完全にデータを守ることができるとは限りません。
だからといって、クラウドセキュリティに無頓着だと直ちに被害を受けてしまう可能性もあります。少なくとも現時点で考えられる適切な対策をきちんと施すことで、目の前にある脅威は遠ざけることができるでしょう。

特に、クラウド事業者選びは非常に重要なポイントですので、慎重に選ぶことをおすすめします。適切な対策でリスクを最小限に留める努力をしてください。

クラウドセキュリティとは?意識すべきポイントを解説

関連記事