更新日
クラウドセキュリティのリスクや仕組み
インターネット環境さえあればどこからでも利用できるクラウドシステムの利便性は高く、導入コストの抑制やスキル不要な点などメリットが多い一方で、セキュリティについて不安や懸念を持つ人も多いようです。
そもそも、使用しているクラウドシステムにどのようなセキュリティが用意されているのか分からないケースもあるほどです。このページではクラウドセキュリティについて、様々な角度から解説します。
クラウドのセキュリティリスク
情報漏えい
インターネット環境さえあればどこからでもアクセスできるクラウドシステムの利便性の高さは、同時に情報漏えいリスクを抱えていることにもなります。例えば近年では在宅ワークやコワーキングスペース、喫茶店など社外で仕事をするケースが増えており、例えばその画面を他の人に見られるほか、クラウドシステム経由でPCがウィルスに感染して情報が外部に漏れてしまうリスクがあります。
データ消失
クラウドシステムはクラウドサービスのサーバにデータを保管するシステムです。そのため、サーバに何らかのトラブル・アクシデントが発生するとデータが消失するリスクがあります。自社でバックアップをとるにも限界があり、基本的にはサーバ会社頼みです。自社でサーバを用意しているのでしたら物理的な対策を施すことができますが、クラウドサービスですと提供者次第です。また、提供者がいくら対策を施していても天災や事故など不可抗力によってデータが消失するリスクもあります。
サイバー攻撃
クラウドサービスの提供業者のシステムにも、サイバー攻撃が行われる可能性はあります。これは決して他人事ではなく、インターネット網を利用している以上、被害を受ける可能性はゼロではないことを認識しておきましょう。
何らかの問題が発生して意図的に狙われるケースがあれば、派生的に狙われるケースもあります。クラウドサービス提供者がSNSで炎上発言を起こし、サイバー攻撃を受けてしまう可能性もあり、リスクを挙げるときりがありません。もちろん自社サーバでも攻撃を受けるリスクはありますが、対抗する知識をもつ社員がいなければ外部にセキュリティを委託するしかありません。
不正アクセス
「不正アクセス」と聞くと大げさに聞こえるかもしれませんが、ID・パスワード双方を把握している元社員がアクセスしたケースも十分に不正アクセスとなるため、退職者が出たタイミングには必ずパスワードを変更しましょう。
元社員だけではなくクラウドサービスを提供していた業者の元社員、あるいは流出したID・パスワードを手にした第三者など、クラウドシステムには不正アクセスリスクが付いて回ります。定期的なID・パスワードの変更が不可欠です。
社内で行うべき対策
クラウドセキュリティ対策はクラウドサービスを提供している業者次第な面がある一方で、自社で行えることもいくつかあります。参考になるサイトを紹介しますので、クラウドセキュリティが気になる方は要チェックです。
通信の暗号化の強化
通信の暗号化はセキュリティを高めるので、通信暗号化の強化は大きなウェイトを占めるものです。通信を暗号化することで第三者への情報漏洩リスクは低減します。
暗号化の規格には「WEP」「TKIP」「AES」、認証方式として「PSK」やサーバ認証方式があります。いずれも情報漏洩リスク低減に寄与するものとなっており、クラウドセキュリティを考える際、まずは考慮すべき部分です。
暗号化のデメリット
暗号化は情報漏洩リスク低減をもたらす点がメリットではありますが、一方ではデメリットもあります。暗号化することで、ファイルの保存やアクセスに時間がかかること、さらに復号化キーを紛失した場合データの復元が難しくなる点が挙げられます。特に複合化キーを紛失した場合、データ復旧専門業者ではあってもデータの復元が難しくなります。
また、暗号化のシステムそのものが壊れるケースもあります。高い秘匿性を得られる一方で、そのための施策がデメリットになってしまう面も持ち合わせているのです。暗号化通信を行う場合、複合化キーの保全にも配慮する必要があり、仮に複合化キーが情報流出してしまった場合、暗号化通信の秘匿性は著しく低下してしまいます。
クラウドプロバイダのセキュリティを確認する
クラウドサービスを利用する場合、技術的な面から行えるセキュリティ対策が少ないのもデメリットのひとつです。あくまでも「供与されるサービスを利用する」だけになりますので、利用前にクラウドプロバイダのセキュリティを確認しておきましょう。特にポイントとなるのが下記です。
- 定期的に外部監査を実施しているか
- データは暗号化されているのか
- 顧客データが論理的にセグメント化・分離されているのか
- クラウドサービスの使用をやめる場合データは削除されるのか
- アクセス権をどのように制御しているのか
- 顧客データ保持ポリシーはどうなっているか
これらのポイントを見ればクラウドサービスのセキュリティの全体像を把握できます。具体的な記載がない場合はぜひ確認してください。クラウドプロバイダのセキュリティ施策をある程度把握できるので、クラウドセキュリティへの意識・対策が分かります。
利用規約もチェック
利用規約もチェックしておきましょう。利用規約はクラウドサービスを利用するにあたってのルールです。サービスの利用にあたって、利用規約に記載があることはすべて了承することを意味しています。後から「見ていなかった」「知らなかった」は通用しませんので、必ず申し込み前・利用前に確認しておきましょう。
クラウドストレージとファイル共有のレギュレーション策定
クラウドサービスの利用にあたって、ストレージの利用量やファイル共有の状況を把握することも大切です。クラウドサービスは、自分だけが利用するサービスではありません。
特にWeb上で気軽に利用できるクラウドサービスの場合利用者も多く、提供されているサービスのサーバ上には、多くの利用者のデータが混在していることになります。設定を間違えてしまったことで、第三者がデータを見られる状況を作るといったリスクが高まるケースもあります。
対策としては、クラウドストレージ・ファイル共有それぞれのレギュレーションを策定しておくことで、クラウドセキュリティを高めることが可能になります。レギュレーションを細かく設定すればするほど、より高いセキュリティ環境を構築できます。
実用性とのバランスが大切
レギュレーションの作成はセキュリティリスク低減となる一方で、レギュレーションが増えれば増えるほど、実用性を損ねます。あまりにもがんじがらめなレギュレーションを策定すると利便性を損ねますが、レギュレーションがゆるい場合セキュリティは低下します。日常的な利用とセキュリティ確保のバランスを踏まえてのレギュレーション策定が求められます。
パスワード保存などのレギュレーション策定
パスワード保存のレギュレーションも策定しておきましょう。簡素なパスワードや、推理が容易なパスワードはセキュリティリスクを高めます。使用者の誕生日、会社の設立日、電話番号など、多くの人間が覚えやすいパスワードは、同時に推測されやすいものです。つまり、不正アクセスのリスクが高まるということです。簡素なパスワードであれば入力の手間は省略されますが、リスクが高まることを忘れてはいけません。そのため、パスワードに関するレギュレーションは必ず策定しておきましょう。
設定だけではなく更新頻度も大切
パスワードのレギュレーションでは、文字列の設定だけではなく、更新頻度も策定しておくとよいでしょう。パスワードを頻繁に更新することで、不正アクセスリスクを低減します。ただし、あまりにも頻繁に更新すると、文字列を記憶できず、その都度入力が面倒になります。ここでポイントとなるのが、パスワードの保管支援ソフトです。
ログイン・利用の都度パスワードを入力させるのではなく、ブラウザ・ソフトで把握しておくことで入力不要でログイン・アクセスを実現します。ただし、この場合は仕様するブラウザ・ソフトのセキュリティに配慮する必要があります。
クラウドセキュリティの仕組み
クラウドセキュリティを高めるための施策を紹介しましたが、上記を含めて社内で行うべき対策をより円滑に進めるためには、クラウドシステム・クラウドセキュリティを理解することが大切です。そこで、クラウドセキュリティの仕組みを解説します。
アカウントとサービスの特定
クラウドサービスはアカウントごとにサービスを特定しています。同じクラウドサービスではあっても、設定は千差万別です。それらの違いをアカウントで識別・特定しています。そのため、アカウント設定こそセキュリティを含めたクラウドサービス利用の肝となるといえます。同じクラウドサービスではあっても、アカウントによってセキュリティレベルが異なるケースが出るのはこのためです。
ID・インフラ・データ保護対策
クラウドサービスのIDを含め、インフラやデータ保護のための対策をたてましょう。この点もクラウドサービスによって異なる部分があり、例えばクラウドサービスではあってもローカルのデバイスと同期するものもあります。アカウントごとにそれぞれの設定に基づいた保護対策が策定されていますので、こちらも確認しておきましょう。
監視・モニタリング・検出
クラウドサービスでは常々不正がないか監視・モニタリングし、検出された場合は対処します。監視方法はクラウドサービスによって異なるため、自社で対応が必要な事項の有無を含めて確認しておくのがおすすめです。
