クラウドセキュリティとは? 対策やリスク、サービスの選び方を解説
規模のカスタマイズが容易な利便性の高さ、導入・運用コストの安さなどを背景に、クラウドサービスは一気に普及しました。インターネット環境さえあれば利用できる手軽さは、テレワークなどの新しい働き方にもフィットします。しかし、外部ネットワークからもアクセスできるクラウドのメリットは、同時に社内システムの安全性を脅かすセキュリティリスクといったデメリットになり得ることにも注意が必要です。では、クラウドサービスのセキュリティを高めるためには、どのような対策が必要なのでしょうか。
本記事では、クラウド特有のセキュリティリスクや、その対策、安全なサービス選びのポイントについて解説します。
クラウドセキュリティとは、クラウド環境下で発生するセキュリティリスクへの対策のこと
クラウドセキュリティとは、クラウド特有の環境下で発生するセキュリティリスクへの対策のことです。
そもそもクラウドとは、インターネットなどのネットワークを経由して、サーバーやソフトウェア、アプリケーション、データストレージなどを利用する仕組みのことです。クラウドを利用した電子メールやゲーム、SNSなどのサービスは、事業者が管理するデータセンターのサーバーやストレージと連携することによって、ネットワーク経由でパソコンやスマートフォンなどに提供されています。
クラウドサービス登場以前の企業のIT環境は、システムを構築するためのハードウェアやソフトウェアを自社で保有・管理するオンプレミス型の運用形態が主流でした。オンプレミス型は、必要な設備の調達から保守・運用まで自社で一貫して行うため、カスタマイズ性が高いのが特徴です。セキュリティレベルにも上限がなく、自社が理想とする環境を作り上げることができます。ただし、設備の導入に初期費用がかかり、カスタマイズの仕方によっては運用開始までの期間が長期化するのが難点でした。
一方クラウドは、ハードウェアやソフトウェアを自前で用意する必要がありません。事業者が構築した環境を必要な分だけ利用する形態であるため、すぐに導入できる点がメリットです。自宅やサテライトオフィス、出張先などからでも、業務用のプラットフォームやソフトウェアへのアクセスができるため、業務効率の向上も期待できます。ただし、料金形態は一般的に従量課金制で、月額利用料を支払っていくため、使えば使うほどランニングコストが高くなる点には注意が必要です。
クラウドサービスの種類
クラウドサービスとして、業務用のソフトウェアやデータストレージなど、様々なサービスが提供されています。クラウドサービスは、提供されているサービスの内容によって「SaaS」「PaaS」「IaaS」の3つに分類されます。
| 名称 | 概要 |
|---|---|
| SaaS | クラウド上でソフトウェアやアプリケーションを提供するサービスで、メールソフトや文書作成ソフト、表計算ソフト、データストレージなどがある |
| PaaS | アプリケーションを動作させるためのミドルウェアやハードウェアをクラウド上で提供するサービスで、システム開発に必要なプラットフォームを手軽に導入できる |
| IaaS | サーバーや通信回線などをクラウド上で提供するサービスで、開発環境の構築に必要なリソースのみを提供する |
SaaS
SaaS(Software as a Service)は、クラウド上でソフトウェアやアプリケーションを提供するサービスです。ログインすればWebブラウザー上でサービスを利用できるため、パッケージ版のソフトウェアやアプリケーションを購入してインストールする必要がありません。クラウド上で提供されるメールソフトや文書作成ソフト、表計算ソフト、データストレージなどが、SaaSの代表的な例です。
PaaS
PaaS(Platform as a Service)は、アプリケーションを動作させるためのミドルウェアやハードウェアをクラウド上で提供するサービスです。システムの開発に必要なプラットフォームを手軽に手に入れることができ、構築の手間がかかりません。PaaSを利用することで、開発環境を構築する際の初期費用を抑えられます。
IaaS
IaaS(Infrastructure as a Service)は、サーバーや通信回線などをクラウド上で提供するサービスです。開発環境をトータルで提供するPaaSに対して、IaaSは開発環境の構築に必要なリソースのみを提供する点が異なります。IaaSで必要なリソースを必要な分だけ調達することで、自社に最適な環境を構築できます。
- 併せて読みたい
総務省が公表しているクラウドセキュリティに関するガイドライン
総務省は、クラウドサービスを導入している企業や組織に向けたクラウドセキュリティへの対応方法を「クラウドサービス提供における情報セキュリティ対策ガイドライン」として取りまとめています。
クラウドサービスの拡大によって、様々なサービス形態が生まれたことで、クラウドサービスの提供事業者がセキュリティを管理、統制する難度が上がりました。また、クラウドサービスのセキュリティには、事業者と利用者のそれぞれに責任を負う範囲があります。下記のようにSaaS・PaaS・IaaSの各サービス形態で範囲が異なるため、認識のずれによるセキュリティインシデントも発生するようになりました。
| SaaS | PaaS | IaaS | |
|---|---|---|---|
| データ | ユーザー | ユーザー | ユーザー |
| アプリケーション | |||
| ミドルウェア | サービス提供企業 | ||
| OS | サービス提供企業 | ||
| ハードウェア基盤 | サービス提供企業 |
インシデントを未然に防ぐには、サービス提供事業者と利用者の双方が自らの責任範囲において正しい設定を行い、適切な管理を継続する必要があります。
「クラウドサービス提供における情報セキュリティ対策ガイドライン」は、こうした状況を受け、事業者と利用者の責任範囲と安全な運用ルールを明確化する目的で策定されたガイドラインです。同ガイドラインはこれまでに2度改訂されており、2024年7月現在では第3版が公開されています。
クラウドサービスのセキュリティリスク
クラウドサービスは、サービス提供者によってセキュリティ体制は構築されていますが、不正アクセスや設定ミスなどによってセキュリティリスクが発生する可能性もあります。クラウド環境で起こり得る、代表的なセキュリティリスクとしては、下記の2点が挙げられます。
| 項目 | 概要 |
|---|---|
| 不正アクセスなどによる情報漏洩 | どこからでもサービスにアクセスできるため、悪意の第三者による不正アクセスや、内部の人間による意図的なデータの持ち出し、設定ミス、シャドーITなどによって、機密情報が漏洩しかねない |
| データ消失 | 自然災害によるデータサーバーの損傷やシステム障害、利用者の設定ミス、不正アクセス、内部不正などによって、クラウドサービスでも意図せずデータが消失するリスクがある |
不正アクセスなどによる情報漏洩
クラウドサービスで発生し得るリスクの1つは、自社が保有する顧客データや経営戦略、財務情報などの機密情報が漏洩するリスクです。
クラウドは、ネットワーク経由で外部からもサービスを利用できる仕組みです。インターネット環境さえあればどこからでもサービスにアクセスできる点は、裏を返せば、第三者による機密情報へのアクセスのリスクを高めることにもつながります。対策を講じなければ、悪意の第三者の不正アクセスによって重要情報が漏洩しかねません。
また、内部の人間による意図的なデータの持ち出しや設定ミス、シャドーITなど、人為的な問題で情報が漏洩することもあります。シャドーITとは、企業側の許可を得ていない端末やシステム、サービスなどを、従業員が勝手に業務で使用することです。企業が設定などを管理していないサービスでは、情報漏洩リスクは高まると言えるでしょう。
社内のセキュリティ意識を高めて、不正やシャドーITを見逃さない風土を醸成することが重要です。加えて、内部不正などが行いづらくなるシステムを導入し、従業員の不正の動機を生まないような労働環境を整備することなども必要となります。
- 併せて読みたい
データ消失
クラウドサービスでは、クラウド上に保存していたデータが消失するリスクもあります。データ消失の要因としては、自然災害によるデータサーバーの損傷やシステム障害、利用者の設定ミス、不正アクセス、内部不正などが考えられます。完璧に対策をしたつもりでも、思わぬトラブルでデータが消失するリスクは常につきまとうため、データ消失の可能性を前提とした対策が必要です。
クラウドサービスのセキュリティ対策不足で生じる被害
クラウドサービスのセキュリティ対策を怠っていると、企業に様々な被害が生じる可能性があります。主な被害としては、下記2点が考えられます。
| 項目 | 概要 |
|---|---|
| コンプライアンス違反による処分 | 顧客や従業員の個人情報が漏洩した場合、個人情報保護法違反として企業名の公表や罰則の適用対象となるリスクがあり、海外のデータ保護規制や業界固有の規制に抵触したら高額の制裁金や取引制限も考えられる |
| 金銭的被害と社会的信用の低下 | 情報漏洩やデータ消失が起きた場合、損害賠償や消失したデータの復旧コストがかかり、企業の管理体制への信用も低下する |
コンプライアンス違反による処分
顧客や従業員の個人情報が漏洩した場合、個人情報保護法上の報告・通知義務が生じたり、違反内容によっては企業名の公表や罰金などの罰則の対象となったりするリスクがあります。また、海外のデータ保護規制や業界固有の規制に抵触した場合は、高額の制裁金や取引制限につながることも考えられます。
クラウド環境では、データの所在をすべて把握すること自体が難しい面もありますが、「把握できないから責任がない」とはなりにくいのが現実です。社内全体で適切な情報管理が必要という意識を醸成し、場合によってはデータの分類、保管場所、移動や削除の方法などをルールで定めることも必要となります。ルールを定めた場合は、そのルールが遵守されているか、継続的に監査・モニタリングすることも求められるでしょう。
金銭的被害と社会的信用の低下
クラウドサービスで発生するリスクの1つとして、情報漏洩やデータ消失が起きたことで発生する金銭的被害と社会的な信用の低下も挙げられます。
例えば、従業員のミスで自社の顧客情報が漏洩した場合、あるいは従業員の個人情報が外部に漏洩した場合、流出した情報の所有者である顧客や従業員から損害賠償を求められることがあります。氏名や住所、メールアドレスといった情報の漏洩にも注意が必要ですが、信用情報や人種、病歴、犯罪歴といったセンシティブな情報が漏洩した場合は、一般的に多額の賠償金の支払いが必要です。漏洩した情報が悪意の第三者に利用される二次被害が起きた場合も、賠償額は高額になる傾向にあります。
また、データ消失が起きた場合、状況によっては業務を停止せざるを得ず、経営にダメージが及ぶことも考えられます。復旧するまでに、時間とコストも必要です。
加えて、情報漏洩が起きたことで企業の管理体制を不安視する声が上がれば、取引先などの関係者からの信用低下による営業機会の損失、株価の下落などにもつながりかねません。
クラウドサービス利用時に行うべきセキュリティ対策
クラウドサービスでは、場合によっては事業継続が困難になるセキュリティインシデントが発生する可能性もあるため、セキュリティ上のリスクを減らす対策は必須です。クラウドサービスを利用する際に、企業が実践すべき主なセキュリティ対策としては、下記の6点が挙げられます。
| 項目 | 概要 |
|---|---|
| 認証の強化 | できるだけ文字数の多い複雑なパスワードを設定し、複数のアカウントでのパスワードの使い回しを避け、多要素認証も導入する |
| データセンターなどでのデータのバックアップ | 大規模なサイバー攻撃や、クラウドサービスのサーバーが損傷するような自然災害が起きた場合に備え、データセンターなどの遠隔地でもバックアップデータを保存できる体制を整える |
| アクセス制御 | ユーザーごとにアクセスできる範囲を設定すると共に、閲覧や編集といった操作の権限も適切に設定し、業務で不要な情報にアクセスできないようにする |
| 外部共有設定の定期的な確認 | クラウドサービスでデータを共有した場合の公開範囲の設定は、意図せず外部に公開される設定になっている可能性もあるため、定期的に設定を確認するようにする |
| ログ監視ツールの導入 | ログ監視ツールでシステムやアプリケーション、デバイスなどへのアクセスを継続的に監視し「いつ」「誰が」「何をしたか」をリアルタイムで把握すれば、不審な動きを速やかに探知して被害を抑える |
| 適切なクラウドサービスの選定 | 最新のセキュリティ対策を取り入れた、ユーザーの情報資産を守る姿勢が明確なクラウドサービスを選ぶ |
認証の強化
クラウドサービスを利用する際は、クラウドにアクセスするための認証を強固にすることが重要です。社内システムなどにログインする際は、ユーザー名とパスワードで認証するのが一般的ですが、単純なパスワードは攻撃者に推測され、不正アクセスを招く可能性が高まります。アルファベットの大文字や小文字、数字、記号を組み合わせた、できるだけ文字数の多い複雑なパスワードを設定するよう社内教育を徹底しましょう。
また、複数のアカウントでのパスワードの使い回しを避け、名前や生年月日など特定されやすい単語や数字を使わないようにするなどの基本的な対策を、社内に周知する必要があります。このように、アカウント情報の管理体制を強化して流出を防ぐことも重要です。
併せて、多要素認証を導入することもお勧めします。多要素認証は「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせて認証するセキュリティの手法です。多要素認証を導入すると、「パスワードでログインした後、SMSに通知されるワンタイムパスワードを入力する」「指紋認証をした後にICカードでチェックする」といった形で、2つ以上の要素での認証が必要になり、セキュリティを強化することができます。
データセンターなどでのデータのバックアップ
クラウドサービスで利用しているデータを、データセンターなどでバックアップしておくことも、セキュリティリスクを軽減する対策の1つです。
万が一、自社の拠点全体に影響を及ぼすような大規模なサイバー攻撃や、クラウドサービスのサーバーが損傷するような自然災害が起きた場合、業務で利用しているすべてのデータが失われかねません。データセンターなどの遠隔地でもバックアップデータを保存できる体制が整っていると、データ消失のリスクを軽減できます。
アクセス制御
適切なアクセス権をユーザーごとに付与するアクセス制御の実施も、クラウドサービスのセキュリティリスクへの対策として重要です。
例えば、社内の機密情報である経営戦略や人事情報へ、一般従業員でもアクセスできる状態だと、不正アクセスや情報漏洩を発生させかねません。ユーザーごとにアクセスできる範囲を設定すると共に、閲覧や編集といった操作の権限も適切に設定し、業務で不要な情報にアクセスできないようにしてください。
- 併せて読みたい
外部共有設定の定期的な確認
クラウドサービスを利用する際に、外部共有設定を定期的に確認することも、セキュリティリスクを軽減する対策の1つです。
クラウドサービスには、社内外にいる人とデータを共有したり、共同でファイルを編集したりすることができる外部共有機能があります。テレワークや、他社との共同プロジェクトを円滑に進める上で役立つ機能ですが、設定を誤ると、そのファイルにアクセスするためのURLを知っているだけで情報を閲覧・編集できます。情報漏洩や不正アクセスに直結しかねないため、定期的に設定状況を見直しましょう。
サービスによっては、意図的な公開設定をしない限り外部公開されない仕様になっていることもあります。しかし、その機能がすべてのデータに適用されていないケースも少なくありません。従業員のミスで、外部に公開される設定になってしまっていることも考えられます。定期的に公開設定をチェックすると共に、外部共有する際にも、その都度設定を確認するようにしておくと安心です。
ログ監視ツールの導入
クラウドサービスの利用に際して、ログ監視ツールを導入することも、セキュリティリスクへの対策となります。
ログ監視ツールでシステムやアプリケーション、デバイスなどへのアクセスを継続的に監視し「いつ」「誰が」「何をしたか」をリアルタイムで把握すれば、不審な動きを速やかに探知して被害を抑えることも可能です。監視ツールを導入していることを社内に周知しておけば、従業員の不正を抑止する効果も期待できます。
適切なクラウドサービスの選定
クラウドサービスでセキュリティリスクを軽減するには、セキュリティ対策に力を入れているサービスを選定することも重要です。クラウドセキュリティの充実度は、サービスによって異なります。最新のセキュリティ対策を取り入れた、ユーザーの情報資産を守る姿勢が明確なクラウドサービスを選びましょう。
クラウドサービスのセキュリティチェックの方法
クラウドサービスを利用する際は、サービスのセキュリティ対策の状況をチェックすることが必要です。そのための主な方法としては、下記2点が考えられます。
| 項目 | 概要 |
|---|---|
| 自社独自のチェックシートの作成 | 経済産業省の「クラウドサービスレベルのチェックリスト」など、公的な資料をベースに自社独自のチェックシートを作成し、サービス提供者に回答を求める |
| 第三者による評価サービスの活用 | 自社リソースが限られる場合は、第三者がクラウドサービス提供者を評価する外部サービスに依頼することも考えられる |
自社独自のチェックシートの作成
クラウドサービスのセキュリティ対策を確認するために、公的な資料をベースに自社独自のチェックシートを作成するのは1つの方法です。
例えば、2010年に経済産業省が公開した「クラウドサービスレベルのチェックリスト」は、多くの企業で参照されてきた資料です。ただし、同資料は経済産業省のWebサイトでの公開は終了していて、「国立国会図書館インターネット資料収集保存事業(WARP)」で閲覧できます。トップページの検索窓に「クラウドサービスレベルのチェックリスト」と入力し、「直近5年のみ検索」のチェックを外して、2010年8月20日に経済産業省から公開されている資料を確認してみましょう。
同資料を基に自社のチェックシートを作成する際は、項目を最新の脅威や自社の状況に合わせてアップデートすることも必要です。チェックシートが完成したら、サービス提供者へ回答を依頼して、セキュリティ水準を確認します。
第三者による評価サービスの活用
クラウドサービスのセキュリティチェックについては、第三者がサービス提供者を評価・スコアリングするサービスを活用するのも有効です。自社リソースが限られる場合は、こうした外部サービスにセキュリティ対策の評価を依頼することができます。
また、重要度の高いサービスについて、自社独自のチェックシートと外部サービスによる評価を併用することも考えられます。
クラウドサービスの安全性に関する基準
クラウドサービスの安全性は、サービスの提供事業者が、第三者機関に審査される安全性基準をクリアして、認証などを取得しているかどうかで確認できます。下記に挙げる認証を取得している事業者が提供するサービスは、一定の安全性が証明されていると言えます。
| 項目 | 概要 |
|---|---|
| ISMSクラウドセキュリティ認証 | クラウドサービスのセキュリティ管理について、一定の基準を満たした管理が実施されていることを証明する国際規格の認証制度 |
| CSマーク | クラウド情報セキュリティ監査制度に基づく監査を受け、クラウドサービスに必要なセキュリティレベルを実現していると認定された企業に付与される認証制度 |
| CSA STAR認証 | 自己認証・第三者認証・継続審査の3段階でクラウドサービスのセキュリティ成熟度を診断するアメリカのセキュリティ団体の認証制度 |
| StarAudit Certification | 6つの領域について、3つから5つの星の数で評価するECE(EuroCloud Europe)による認証制度 |
| FedRAMP | クラウドサービスのセキュリティ評価、認証などの基準を盛り込んだアメリカ政府が採用しているセキュリティ評価ガイドライン |
| SOC2(SOC2+) | アメリカの公認会計士協会(AICPA)が定める、サイバーセキュリティの報告に関するフレームワーク |
ISMSクラウドセキュリティ認証
ISMSクラウドセキュリティ認証とは、クラウドサービスのセキュリティ管理について、一定の基準を満たした管理が実施されていることを証明する認証です。ISMSクラウドセキュリティ認証を得るには、前提として通常のISMS認証を取得していなければなりません。国際規格であり、様々なクラウドサービス提供事業者が取得しています。
CSマーク
CSマークとは、JASA‐クラウドセキュリティ推進協議会が制定した、クラウドセキュリティに関する認証制度です。クラウド情報セキュリティ監査制度に基づく監査を受け、クラウドサービスに必要なセキュリティレベルを実現していると認定された企業に付与されます。CSマークにはゴールドとシルバーの2種類があり、第三者による外部監査を通過したゴールドのほうが信頼性は高いと言えます。
CSA STAR認証
CSA STAR認証は、アメリカのセキュリティ団体であるCSA(Cloud Security Alliance)が提供するクラウドセキュリティの認証制度です。自己認証・第三者認証・継続審査の3段階でクラウドサービスのセキュリティ成熟度を診断します。世界中で利用されており、認証を保持するには定期的な監査を受ける必要があります。
StarAudit Certification
StarAudit Certificationは、ECE(EuroCloud Europe)による認証制度です。評価範囲を「CSP(クラウドソリューションプロバイダー)の情報」「法的事項」「セキュリティとプライバシー」「運用プロセス成熟度」「クラウド形態」「データセンター」の6つの領域に分割し、3つから5つの星の数で評価します。
FedRAMP
FedRAMP(Federal Risk and Authorization Management Program)は、アメリカ政府が採用しているクラウドサービスのセキュリティ評価ガイドラインです。クラウドサービスのセキュリティ評価、認証などの基準を提供しています。FedRAMPの認証を得たサービスは、アメリカの政府機関で導入できるセキュリティを備えています。
SOC2(SOC2+)
SOC2(SOC2+)は、アメリカの公認会計士協会(AICPA)が定める、サイバーセキュリティの報告に関するフレームワークです。「情報セキュリティ」「プライバシー」「機密保持」「可用性」「処理の誠実性」の5点の中から1点以上の項目を選択し、システムやサービスを評価します。
安全なクラウドサービス選びのポイント
安全なクラウドサービスを利用するためには、クラウド環境でレベルの高いセキュリティ品質を維持できるサービスを選ぶことが重要です。下記に挙げるポイントを参考に、信頼できるサービスを選びましょう。
- クラウドサービス選びのポイント
-
- 国際規格を取得している(ISMSクラウドセキュリティ認証など)
- アクセス権限を細かく設定することができる
- データや通信内容が暗号化できる
- 多要素認証に対応している
- アクセスログの管理機能を備えている
クラウドセキュリティのリスクに対応するために、適切な対策を実施しよう
様々な企業で導入されているクラウドサービスは、組織の外からも社内のデータにアクセスでき、コストを抑えて多様な働き方に対応できるメリットがある一方、その利便性がセキュリティ上のリスクにつながる可能性をはらんでいます。信頼性の高いサービスを選ぶと共に、多要素認証の導入やアクセス制御、ログ監視ツールの導入などで大切な情報資産を守りましょう。
情報漏洩対策からIT資産管理、労務管理まで一元的に支援するインターコムの「MaLion」シリーズは、クラウドサービスのセキュリティ対策にも有用です。セキュリティポリシー設定やポリシー違反者への警告通知、Webアクセス監視・制限、Webアップロード監視、ファイルアクセス監視・制限などの機能を備え、企業の情報資産を守ります。クラウドのセキュリティ対策を検討中の方は、ぜひご検討ください。
