クラウドファーストやクラウドシフトが推進されてはいるものの、クラウドのセキュリティに不安を抱いている方もいるかもしれません。
確かにクラウドにはセキュリティリスクは存在するものの、クラウドだから危険ということではなく、しっかりとセキュリティ対策を講じることでリスクを軽減させることは可能です。
クラウドのセキュリティリスクを理解して、クラウドセキュリティ対策を講じることでクラウド推進を検討しましょう。
クラウドセキュリティとは
クラウドの普及が広まる中で、これまでのクラウドはセキュリティが弱いという考え方からクラウドはオンプレミスよりもセキュリティが強いという考え方にシフトしつつあります。
しかし、クラウドにおけるセキュリティリスクは変わらず存在します。
クラウドセキュリティとは、クラウドにおけるリスクに対するセキュリティ対策のことを言います。
クラウドにおけるセキュリティをしっかりと理解した上で、クラウドセキュリティを講じることが重要です。
クラウドのセキュリティリスクとは
クラウドのセキュリティリスクとはどのようなものがあるのでしょうか。
クラウドにおけるセキュリティリスクについて具体的に解説します。
第三者にデータを預けること
クラウドでは、ローカルPCや自社サーバーにデータを保存せずに、インターネット上のクラウド事業者の元にデータを保存することになります。
つまり、大事な顧客上や業務上の機密情報を他の会社に預けるということになるので、情報漏洩のリスクが高まると考えることもできます。
サイバー攻撃や不正アクセスの脅威
システムやデータがインターネット上に存在するため、サイバー攻撃や不正アクセスなどによるデータ流出や消去などのリスクがクラウドにもあります。
しかし、これらのリスクはオンプレミスでも存在するリスクでもあります。
内部不正の危険性
クラウドはインターネットにさえつながっていれば、いつどこからでも利用することができるので、社内だけで利用するオンプレミスよりもデータの持ち出しなどの不正利用が起きやすい環境といえます。
また、利用者だけではなく、クラウド事業者の従業員によって不正が起きる可能性もゼロではありません。
データ消失の危険性
ローカルPCや自社サーバーにデータを保存せずに、インターネット上のクラウド事業者の元にデータを預けると説明しましたが、障害や不正アクセスなどによってデータ消失のリスクがあります。
また、設定ミスやオペレーションミスなどによるデータが消失するヒューマンエラーにも注意が必要です。
クラウドセキュリティガイドラインとは
経済産業省が公表した「クラウドサービス提供における情報セキュリティ対策ガイドライン」を通称してクラウドセキュリティガイドラインと呼びます。
クラウド事業者や利用ユーザーに向けて注意点やリスクや対策などクラウドサービスを安全に利用するための情報がまとめられています。
クラウドサービスのセキュリティは向上してはいますが、すべてがクラウド事業者に委ねられているわけではなく、利用者側でもリスクをきちんと把握して対策を講じ、安全利用に向けて取り組むことが重要とされています。
クラウドのセキュリティ対策
クラウドにおけるセキュリティリスクとセキュリティ対策の必要性を踏まえた上で、実際にどのようなセキュリティ対策を行えば良いのか具体例を解説します。
ガイドラインの策定と従業員への教育
まずは、クラウドサービスの利用と管理についてのガイドラインを策定しましょう。
クラウドサービスはオンプレミスと操作性や運用方法が異なるので、利用者が迷わないためにもルール作りが必要です。
クラウドサービスはインターネットにさえつながっていれば、いつどこからでも利用することができ、同時アクセスや同時編集することもあるため、セキュリティ事故防止のためには利用者の意識が大切です。
ガイドラインを策定して終わりではなく、利用者への教育をきちんと行ってセキュリティへの知識を深め、実践させることが重要です。
OSやブラウザの最新化
ウイルスやマルウェア対策で重要なこととして、OSやブラウザを常に最新化しておくことが大切です。
セキュリティの脆弱性が発見されると、ほとんどはすぐに修正して配信されますが、きちんとアップデートしなくては意味がありません。
時間がかかるし面倒だからと後回しにしがちですが、常に最新の状態を保つように心がけましょう。
パスワードの管理
パスワードが短かったりシンプルだったりすると総当たり攻撃などによって不正アクセスされるリスクがあります。
また、すべてのサービスで同じパスワードの使いまわしをすることで、いずれかのサービスで流出してしまうと、すべてのサービスに不正アクセスされる懸念もあります。
たとえ利用しているクラウドサービスのセキュリティが強固だとしても、利用者の管理不足やIDとパスワードが流出してしまっては元も子もありません。
パスワードポリシーの設定やIDやパスワードの管理方法を定めて従業員の教育を徹底しましょう。
多要素認証の利用
多要素認証はMFAとも呼ばれていて、パスワードやPINコードなど本人だけが知っている知識情報、携帯電話やICカードなど本人だけが所有している所持情報、指紋や静脈などの本人の身体的な生体情報のうち2つ以上を組み合わせて認証することを指します。
たとえば、ユーザーIDとパスワードでログインしたあと、本人が所有しているスマートフォンに送信されるワンタイムパスワードを入力する方法があります。
こうすることで、仮にユーザーIDやパスワードが流出してしまった場合でも、本人のスマートフォンがなければログインできないため、不正アクセスを防ぐことができます。
多くのクラウドサービスでは多要素認証が利用できるため、ぜひ活用して万が一の場合に備えましょう。
適切なアクセス権限の設定
必要な人が必要な場所にだけアクセスできるように適切なアクセス権を設定しましょう。
クラウドサービスに限った話ではありませんが、アクセス対象を絞っておくことで、さまざまなリスクを削減し、万が一の場合の原因究明もしやすくなります。
適切なセキュリティ設定
パスワードポリシーや多要素認証のほかにも、アクセスできるデバイスやIPアドレスを制限するなど様々なセキュリティ機能が用意されています。
適切な設定を行ってセキュリティリスク軽減に努めましょう。
通信の暗号化
クラウドサービスはインターネットを介して利用するため、盗聴の恐れが付きまといますが、盗聴対策として重要な機能が通信の暗号化です。
暗号化されていれば万が一、盗聴されても解読することができないのでリスクを軽減できます。
通信の暗号化をしていないサービスは利用するべきではないので、必ず確認して利用サービスの選定を行いましょう。
離職者や異動者のユーザー削除
離職や異動によって、対象のクラウドサービスを利用しなくなった場合は、ユーザーIDを削除しましょう。
いつまでも残しておくことで退職後にアクセスされて情報漏洩へ発展してしまう恐れがあります。
過去の事故情報の確認
利用検討しているクラウドサービスが、過去にセキュリティ事故を起こしたことがないかインターネットで検索してみましょう。
重大な過失があった場合には、代替のサービスを検討してみても良いかもしれません。
ログ管理を行う
ログ管理は万が一の場合の原因究明のために重要です。
アクセスログや操作ログなどが記録されていることがほとんどですが、ログの定期的な監視や分析など適切な管理まで行うことが重要です。
また、ログ管理を行っていることを従業員へ周知することで内部不正の抑止にも期待できます。
リスクを理解してクラウドセキュリティ対策を行おう
クラウドのセキュリティリスクを認識した上で、クラウドセキュリティを講じましょう。
クラウドセキュリティを講じることができるクラウドサービスを選定することが重要です。
クラウドサービスのひとつに、オンラインストレージサービスがあります。
セキュアSAMBAは国産のオンラインストレージサービスで、クラウドセキュリティをしっかり講じることができるサービスです。
アクセス経路とファイルは全て暗号化されているため盗聴対策ができ、アクセス権や端末認証、IPアドレス制限、パスワードポリシーの設定、多要素認証などによって不正アクセスに備えることも可能です。
クラウドセキュリティが充実した無料から使えるセキュアSAMBAの利用からクラウドサービスを活用してみてはいかがでしょうか。
