クラウドサービスは、ネット環境があればどこからでも利用できてとても便利です。
多くのクラウドサービスがリリースされており、個人・法人を問わず幅広く利用されています。
しかし、クラウドサービスならではのリスクについてはどれだけ認知されているでしょうか。
クラウドサービスのリスクを多方面から解説し、クラウドサービスのセキュリティリスクへの対処法について考えていきましょう。
クラウドサービスの特徴
クラウドサービスを使えば、オンライン上で様々な機能を利用できます。
クラウドサービスのメリットは、自社でサービスの実行環境を用意する必要がなく、手軽に使えることです。
例えば、オンライン上にデータを保存し、別のだれかと共有したり、データを共同で編集できたりするクラウドストレージサービスがあります。
他にもMicrosoft Office 365のようなオフィスソフト、GmailのようなWebメールがクラウドサービスに該当します。
しかし、便利なクラウドサービスには様々なリスクも存在します。
クラウドサービスのリスク
クラウドサービスのリスクは、主にサービスの提供元への依存度が高いことから発生します。
具体的にクラウドサービス特有のリスクを見ていきましょう。
サービス移行がしづらい
現在使っているクラウドサービスに不満が出てきて、別のサービスに移行したいと思ってもそれが難しいことがあります。
クラウドサービスの仕様はサービス提供者によって異なります。
例えば、現在利用しているクラウドサービスと移行予定のサービスでは、扱えるファイルの形式が違うかもしれません。
仮にファイル移行のシステムが整っていたとしても、現行サービスからデータを取り出し、新しいサービスにインポートする作業も必要になり、時間がかかります。
このようにサービス移行がしにくい状態を「ロックイン」と呼びます。
サービス終了リスク
クラウドサービスは提供元の都合により、急遽終了してしまうことがあります。
過去にはNドライブやKDriveといったクラウドサービスが終わりを迎えています。
また、サービス全面終了とまではいかなくても、事業者の方針転換・企業合併などで仕様や料金が大きく変更される可能性もあります。
いつまでも現状のままサービスが使い続けられるとは限らないのです。
海外との法律の違い
海外のクラウドサービスを利用している場合は、日本の法律と海外の法律が異なる点に注意が必要です。
日本では問題がなくても、海外では法律違反になってしまうような行為もあります。
海外のクラウドサービスを使うときは、うっかり法律違反を犯さないように気を付けるべきです。
システム障害によるデータ消失
クラウドサービスを利用すれば、自社にシステムを置かず、運用管理をサービス事業者に任せられます。
しかし、業者が実際にどのような運営を行っているかは顧客側から見ることはできません。
万が一、クラウドサービス自体にシステム障害が発生すれば、データが丸ごと消失してしまう可能性もあります。
第三者に管理運営を任せられるのは気楽ですが、一方で自社に落ち度がなくてもデータを失ってしまう危険性も考慮しなければなりません。
クラウドサービスのセキュリティリスク
クラウドサービスで起こりうるセキュリティリスクについて確認していきましょう。
不正アクセス
クラウドサービスはIDやパスワードなどでアクセス権限を持つ相手を認識し、セキュリティ対策をしています。
しかし、ユーザーを識別するはずのIDやパスワードが何らかの原因で漏れてしまうことがあります。
IDとパスワードを手に入れた第三者は、アクセス権限を持っている人間に偽装してクラウドサービスに入り込むことができます。
オンライン上にあるクラウドサービスは、世界中からアクセスが可能です。
これはメリットでもありますが、どこからでも不正アクセスされてしまうという意味ではデメリットでもあります。
リソース不足
クラウドサービスは、自社運用のサービスとは違い、多くのユーザーが同時に利用しています。
もし、ユーザーが同時に大容量のサービスを利用したらどうなるでしょう。
通常クラウドサービスは複数ユーザーの使用にも耐えられるよう設計されていますが、予想を超えるアクセスが集中するとリソース不足を起こす可能性があります。
深刻なリソース不足が起きれば、サービスがダウンして使えなくなるかもしれません。
情報の漏えい
クラウドサービスにサイバー攻撃が仕掛けられ、情報漏洩が起きる可能性もあります。
各クラウドサービス提供者は安全性に配慮して運用を行っているはずですが、ウィルスも進化を続けています。
絶対に安全という保証はありません。
また、クラウドサービスにデータをアップロード・ダウンロードする回線が安全でない場合も情報漏洩リスクが高くなります。
クラウドサービスそのもののセキュリティ対策のみならず、ユーザー側通信回線の安全性にも気を付けなくてはなりません。
共同ユーザーからのリスク
クラウドサービスは自分以外にも多数のユーザーが存在します。
もし他のユーザーが不正を犯したとします。
この不正行為をクラウドサービス上で実行していた場合、サービス全体が調査対象になる可能性も0ではないでしょう。
場合によっては、しばらくの間クラウドサービスは利用不可になるかもしれません。
自社にとっては何の関係もないことで、リスクが発生してしまう危険性があるのです。
データが残ってしまうリスク
クラウドサービスを利用する際は、事業者にデータの扱いを任せている状態になります。
そして事業者がデータを実際にはどのように扱っているのか、外側からはわからないのです。
例えばデータを消去する操作をしたとき、本当にクラウドサービスからデータが消えたのかどうか見えません。
この点は事業者を信頼するしかないのです。
また、退会時のデータの取り扱いについても注意が必要です。
退会者のデータは復元できないように徹底消去してくれるのかどうかは、サービス契約前に確かめておきたいところです。
サプライチェーンが複雑
クラウドサービスは1つの事業者だけでなく、複数の事業者がかかわって構築されている場合があります。
クラウドサービスのサプライチェーン(ユーザーにサービスが届くまでの一連の流れ)はとても複雑で、把握しづらいです。
セキュリティレベルはその中でも一番低い事業者に依存してしまうので、自社が契約しているフロントのクラウドサービスだけでは安全性を測りかねる面があります。
クラウドサービスのリスクへの対処法
クラウドサービスがもつリスクにどのように対処していくべきかを紹介します。
サービスの信頼性を確認
クラウドサービスを利用する際は、サービス提供事業者の規模、信頼性、セキュリティ対策などをチェックします。
契約予定のクラウドサービス単体でなく、サプライチェーン全体で見たサービスの信頼性を検討することが重要です。
信頼性を測る方法としては、認証制度を利用するのも手です。
例えば、以下のような認証制度があります。
ISMS
情報の改ざんや漏洩を防ぎながら、情報を扱いやすい状態におくための仕組み。
これを規格化したものに、ISO/IEC 27001やJIS Q 27001があります。
クラウド情報セキュリティ監査制度
情報セキュリティマネジメントの基本要件を満たし、実施している事業者を認定する制度です。
ASP・SaaS情報開示認定制度
信頼性や安全性に関する情報開示基準を満たしているASP・SaaS事業者を認定する制度です。
情報漏えいやデータ消去があったときの影響と対策
クラウドサービスで扱うデータについては、万が一情報漏洩やデータ消失の事態が発生した時どのような影響があるのかをシュミレーションしておきます。
そしてその影響を最小限に防ぐには、どのような対策が必要かを検討します。
例えば情報消失リスクが極めて高いデータは、クラウドサービス以外の場所にバックアップを取っておくようにします。
こうすれば、クラウドサービス上でデータが消えてしまっても、スムーズな復元が可能になります。
事業者やデータセンターの位置による法律の確認
海外の事業者を通している場合、サービス利用方法が法律違反にならないかを確認する必要があります。
そのためには、契約を考えている事業者の所在地などを調べなくてはなりません。
安全にクラウドサービスを運用するためには、地理的条件に注目することも大事です。
サービス終了、退会時のデータについて確認
クラウドサービスには、ロックインリスクやサービス終了のリスクがあります。
契約を終えた場合、データをダウンロードして別サービスに速やかに移行できるか確認しておきましょう。
退会時にはこちらのデータを完全消去してもらえるのかも調べておけると良いでしょう。
厳格な利用者認証ルールを定める
クラウドサービス利用者にとって、IDやパスワードの漏えいは致命的なセキュリティリスクです。
社内でのIDやパスワード管理を徹底し、人的ミスによる情報漏洩を防いでください。
IDやパスワードの使いまわしは禁止すべきですし、入力場面を第三者に盗み見られないよう注意喚起する必要もあるでしょう。
また、退職者や研修者のIDやパスワードを速やかに回収する事も忘れないでください。
サポート体制の整った事業者を選ぶ
クラウドサービスの内部はユーザー側から見えません。
そのため何か不具合が起きた場合は、クラウドサービス事業者にしっかりサポートしてほしいものです。
クラウドサービスには無料のものもありますが、仕事で使う場合はサポート体制の整った有料サービスを選ぶ方が良いでしょう。
クラウドサービスについての理解を深める
クラウドサービスの仕組みは複雑で、日々進化しています。
安全なクラウドサービスを選ぶためには、最新の情報を獲得し、最新のリスクに備える必要があります。
クラウドサービスについては、政府や各団体が上記のような様々なガイドライン、手引を発行しているので参考にしてください。
クラウドサービスのリスクを理解して活用しよう
クラウドサービスのリスクを理解することは、安全な業者を選んだり、運営上のセキュリティリスクに備えるのに必要です。
リスク対応ができる業者選びも大事です。
オンラインストレージのセキュアSAMBAはデータ移行サービスを提供しており、既存サービスからの乗り換えもサポートできる体制が整っています。
また、データセンターには安全性の高いAmazon Web Services(アマゾンウェブサービス)を利用しています。
どのようなツールにもリスクはありますが、「クラウドサービスだから危険」と避けるのではなく、セキュアSAMBAのようなセキュリティやサポートが充実したサービスを選んで利用してください。