クラウドが普及したことで、オンプレミスで機器を抱えてローカルネットワークでのシステム利用から、インターネット上のシステムを利用する形態へと変化してきました。
その一方で、クラウドは情報漏洩などのリスクが大きいというイメージによって、クラウド導入に踏み切れない企業も多く存在します。
しかし、オンプレミスが絶対安全であるわけではなく、クラウドも利用の仕方やサービスによってセキュリティ強度は大きく変わってきます。
クラウドにおける情報漏洩の内容と原因を理解して、安全にクラウドを利用する方法を考えていきましょう。
クラウドにおける情報漏洩とは
クラウドとは、インターネット上のソフトウェアやサーバーなどを利用するサービスです。
オンプレミスでは企業内のサーバーなどにデータを保管しますが、クラウドはクラウド事業者のサーバーやデータセンターなどにデータが保存されます。
つまり、クラウドにおける情報漏洩とは、インターネット上のデータが情報漏洩することを言います。
クラウドサービスの利用にかかわらず、インターネットは全世界で繋がっているオープンな環境なので、情報漏洩のリスクは常に念頭に置いておく必要があります。
また、インターネット上のデータが情報漏洩してしまうことについては、サービス提供社側に問題がある場合や攻撃を受けた場合、利用者に起因する場合などがあり、クラウドサービス事業者のみに情報漏洩リスクがあるというわけではありません。
クラウドの情報漏洩リスクとオンプレミスの情報漏洩リスク
オンプレミスではローカルネットワーク内で利用するため、外部から攻撃するハードルが高い環境であると言えます。
クラウドの場合、インターネット上で利用するので常にオンライン状態になり、不正アクセスやサイバー攻撃などの外部からの攻撃のリスクがつきまといます。
オンプレミス環境においても情報漏洩のリスクはありますが、クラウドの方が外部攻撃のリスクが高いことを認識しておく必要があります。
しかし、ローカルネットワークであっても外部からスキャンされ攻撃をされることもあります。
また、ローカルネットワークで使っているルーターやプリンター、使用しているデバイス本体の脆弱性や攻撃によるリスクもあるので、オンプレミスでも情報漏洩リスクは多くあるといえるでしょう。
クラウドでの情報漏洩原因:利用者側による内的要因
クラウドで情報漏洩する原因として考えられるものとして、利用者側の内的要因、提供側の要因や第三者からの攻撃、システム障害があります。
まずはクラウドの情報漏洩の利用者側の内的要因について解説します。
操作の誤り
ヒューマンエラーと呼ばれる、いわゆる操作者のミスによるケースです。
人間だれでもミスは起こしてしまうものですので、ヒューマンエラーへの対策が必要です。
設定の誤り
クラウドサービスのアクセス権や公開範囲の設定を誤るケースです。
設定のミスや単純な操作ミスなどがあり、主に運用管理者のミスになります。
適切にアクセス権が設定されていなければ、本来は閲覧権限や操作ができないユーザーに操作されてしまうリスクが生まれてしまいます。
内部不正
悪意のある利用者によって、意図的にデータを持ち出されたりするケースです。
アクセス権があるユーザーは誰でも不正を起こすことが可能なのでログ管理やルール整備が必須となります。
クラウドでの情報漏洩原因:提供側や攻撃者による外的要因
クラウドの情報漏洩の提供側や攻撃者からの外的要因について解説します。
これらは、サービス提供側の要因と外部攻撃による要因などが考えられます。
不正アクセス
本来アクセス権限を持たない第三者が不正にIDとパスワードを入手してログインするケースです。
なりすましによって正規のユーザーが参照できるデータを見られるリスクがあります。
不正アクセスは外部からの攻撃によるものもありますが、内部不正でもなりすまし行為は起こり得るので注意が必要です。
サイバー攻撃
インターネット上のシステムは常にオンラインのため、サイバー攻撃の標的にされやすいので確実なセキュリティ対策が必要です。
サービスの脆弱性だけでなく利用者側のネットワーク環境やデバイスの状態、そのほかの操作によるウイルス感染などで、サイバー攻撃を受けやすくなる場合があります。
システム障害
クラウドはオンプレミスと違って手元に機器やソフトウェアがないのでハードウェアの故障やソフトウェア障害と無縁と思われがちですが、実際にはクラウド上に存在するので同じように障害が発生するリスクはあります。
クラウド事業者の方であらゆる対策を講じていることがほとんどでユーザー側にできる対策がないですが、リスクとしては認識しておく必要があります。
また、サービスの不具合というだけでなく、サービス元への外部からの攻撃で障害が発生する可能性もあることも留意しておかなければいけません。
クラウドにおける情報漏洩の対策
実際にクラウドにおける情報漏洩が起きないために、どのような対策を行えばいいのでしょうか。
クラウドの情報漏洩対策の内容を確認していきましょう。
ガイドラインの策定と教育
クラウドはオンプレミスと運用方法が変わるため、クラウド利用やセキュリティに関するガイドラインを策定し、従業員へ教育することが重要です。
ガイドラインは利用者の判断指標になり、意識付けにもなるので必ず策定・教育しましょう。
クラウドサービスのセキュリティ機能の確認
クラウドサービスはオンプレミスと異なり、自由にセキュリティ機能を構築することができず、用意された機能を利用するしかありません。
セキュリティ機能が自社のセキュリティポリシーを満たしているか、満足している機能が備わっているかを利用前に確認しましょう。
クラウドサービスのインシデント確認
セキュリティに力を入れているクラウドサービスがほとんどですが、中には対策が不十分なものもあります。
過去にセキュリティインシデントを起こしていないか、起こしている場合は内容を確認して本当にそのサービスを安心して利用できるかどうかを確認することが大切です。
セキュリティソフトの導入
利用者のPCがウイルス感染したり、サイバー攻撃を仕掛けられた場合には、ターゲットPCを介してクラウドのデータなどを狙われる恐れがあります。
セキュリティソフトを導入し、パターンファイルや検索エンジンなどを常に最新化しておくことを心がけてください。
OSやブラウザの最新化
OSやブラウザも常に最新化することを心がけてください。
脆弱性に対する修正パッチを適用しないことでウイルス感染やサイバー攻撃などの被害に遭う可能性があるため注意が必要です。
多要素認証の利用
多要素認証はMFAとも呼ばれていて、認証の3要素である知識情報、所持情報、生体情報のうち、2つ以上を組み合わせて認証することを指します。
従来のパスワード認証に加えて他の要素でも認証することで不正アクセスをほぼ防ぐことができると言われています。
アクセス権を確実に設定する
システムの利用権やデータのアクセス権などは適切なユーザーに適切な権限を付与する必要があります。
不正アクセスされた場合も、権限の低いユーザーだった場合は被害を最小限に抑えることができるほか、内部不正の対策にもなります。
IPやデバイス認証を活用する
クラウドはインターネットにさえつながっていればどこからでも利用できますが、なりすましや内部不正のリスクがあります。
IPやデバイス制限をかけることで決まった場所や決まったデバイスからしかアクセスできないため、様々な不正のリスクを軽減させることができます。
離職者のユーザー削除
退職した従業員の情報をいつまでも残していると、退職して部外者となったユーザーにアクセスされてしまったり、なりすましのリスクも増えることになります。
有効にしておくアカウントは必要最低限とし、退職などによって使用しなくなった場合には速やかにユーザーを削除するべきです。
ログ管理の徹底
内的要因も外的要因も不正によって攻撃されることで情報漏洩するリスクがありますが、ログ管理を徹底することで万が一の場合の原因究明などを素早く行うことできます。
また、ログ管理していることを従業員へ周知することで内部不正の抑止力にもなります。
クラウドだから情報漏洩しやすいわけではない
クラウドにおける情報漏洩の脅威を説明しましたが、クラウドだから情報漏洩しやすいというわけではありません。
クラウドの普及が広まる中で、クラウドはセキュリティが弱いという考え方からクラウドはオンプレミスよりもセキュリティが強いという考え方にシフトしつつあります。
セキュリティが弱いと信用を失うので、強固なセキュリティを構築しているクラウドサービスが多いためです。
高度な専門技術を必要とし、コストをかけて構築ミスのリスクを抱えて自前で構築するよりもクラウド事業者に任せた方が安心で手間もないという考えは一般的になっています。
情報漏洩に対してはオンプレミスもクラウドもほとんど同じ対策が必要でどちらの場合も適切な情報漏洩対策を行う必要があるので誤解しないようにしましょう。
クラウドセキュリティ機能が豊富なセキュアSAMBA
セキュリティ性が高いオンラインストレージサービスを活用することもクラウドの情報漏洩対策のひとつです。
オンラインストレージサービスであるセキュアSAMBAは、すべての通信とファイルが暗号化されているため、安心して利用できます。
IPやデバイス制限、reCAPTCHAや二段階認証、ログ管理機能などセキュリティ機能も豊富なのでリスクを軽減させることが可能です。
情報漏洩対策として、ファイルサーバーからオンラインストレージへの切り替えを検討し、無料から使えるセキュアSAMBAの利用を検討してみてはいかがでしょうか。