近年、クラウドサービスを利用する企業が増えています。特にリモートワークの浸透により、ファイル共有や保存ができるツールとして、「クラウドストレージ」が注目を集めています。
AWSやMicrosoft Azure、IBM Cloudなどのクラウドサービスや、クラウドセキュリティソリューションCASBのZscalerなどを、耳にしたことがある方も多いのではないでしょうか。一方で、クラウド上にサーバーがあるため、セキュリティ面の不安から、サービスの導入に踏み切れない企業もあるかもしれません。
今回は、クラウドストレージのセキュリティに課題を感じる企業を対象に、セキュリティ対策の方法を解説します。クラウドとオンプレミスの特長も比較したので、参考にしてみてください。
1.クラウドストレージのセキュリティリスクとは?
不正アクセスや不正ログインによる情報漏えい
クラウドストレージのセキュリティリスクとして、最初に考えられるのは「情報漏えい」でしょう。不正アクセスや不正ログインされてしまうことで起こりやすい事故です。ビジネスでは、機密情報や顧客情報などを扱う場面が多く、信用問題にも関わるため、サイバー攻撃の脅威から情報を守るための対策がされたクラウドを利用する必要があります。
データの流出や損失
サイバー攻撃やヒューマンエラーのほか、クラウド提供企業に障害が発生したなどの理由で、「データの流出や損失」するリスクも考えられます。クラウドサービスの利用停止や、データが復旧できなくなる可能性もあるので、より安全性の高いクラウドを利用しましょう。万が一の事態に備えて、データのバックアップを行うことも忘れてはなりません。
2.クラウドを利用する際に押さえておきたいセキュリティ対策方法4点
クラウドソフトの利用時には、セキュリティ対策が欠かせません。適切にクラウドを運用するために、チェックリストに追加しておきたい4つのセキュリティ対策を紹介します。
①アクセス制限の設定
多くのクラウドでは、ファイルごとに共有範囲やアクセス権限を設定できたり、アクセスできる端末やIPアドレスを限定したりする機能があります。自社のセキュリティ基準やコンプライアンスと照らし合わせて、アクセス制限を設定することで、不特定多数からのアクセスを予防できます。
②ID・パスワードの設定
アカウントには必ずパスワードを設定し、二段階認証などの機能があれば積極的に活用しましょう。個人でも定期的にパスワードを変更するよう促すなど、社内のチェック体制を構築することもおすすめです。一人一人がセキュリティ意識を高めることが、セキュリティリスクの軽減に繋がります。
③データ通信とファイルの暗号化
クラウドに保存したデータを不正アクセスから守るためには、SSLなどの暗号化が必須です。クラウドストレージを検討する際には、通信時のネットワークや保存データを、安全なアルゴリズムで暗号化したサービスを選択すると安心でしょう。
④ファイルのバックアップと管理
暗号化やウイルスチェック、ログ管理など、セキュリティ対策を搭載したクラウドサービスが一般的です。しかし、万が一データが消失した場合に備えて、ハードディスクドライブなどにバックアップを取っておくと安心です。
3.クラウド型とオンプレミス型はどちらが安全?メリット・デメリットを比較
クラウド型(SaaS・PaaS)とオンプレミス型(自社ネットワーク)について、サービスの特長や利点をまとめました。自社の課題やセキュリティ要件に合わせて、メリット・デメリットを比較してみてください。
| クラウド型 | オンプレミス型 | |
|---|---|---|
| システム構築・管理 | 外部 | 社内 |
| ネットワーク | インターネット経由 | 社内 |
| セキュリティ(安全性) | 〇 | 〇 |
| BCP対策 | ◎ | × |
| メリット | 初期費用が安い サーバーを拡張しやすい 物理的なスペースが不要 障害時はベンダーが対応 災害時のリスクが低い など |
不正アクセスが起きにくい 社内システムと連携しやすい カスタマイズがしやすい など |
| デメリット | サーバが他社と共用のことが多い ネット接続が必須 カスタマイズに限界がある など |
導入費用がかかる 管理に手間と時間がかかる 自社で障害対応が必要 災害時の損失リスクがある ヒューマンエラーに弱い など |
4.まとめ
ビジネスに欠かせない存在となったクラウド。クラウドストレージを利用してみたいけれど、セキュリティ面が心配という方へ向けて、4つのセキュリティ対策ポイントを紹介しました。
データの保存先としては、クラウド型とオンプレミス型の2種類のストレージサービスがあります。信頼できる大手のクラウドであれば、オンプレミスと同等か、それ以上の安全性を確保することができるので安心です。
セキュリティリスクを軽減し、クラウドを安全に運用するために、クラウドサービスの検討時には、セキュリティポリシーやセキュリティ関連の資格なども確認し、セキュリティ対策を充実させましょう。
補足知識|情報セキュリティ対策ガイドラインについて
情報資産のセキュリティを管理するための枠組みとして、「ISMS(情報セキュリティマネジメントシステム)」という用語があります。ISMSを策定して実施する際には、政府が公表しているガイドラインも参考にしてみてください。
IPA(独立行政法人情報処理推進機構)
経済産業省管轄のIPAは、IT社会の動向調査・分析・情報発信などを行う独立行政法人です。国民へ情報セキュリティ対策の啓発や、IT製品の安全性を確保する制度運用の推進、サイバーセキュリティやITイノベーション人材の育成などを実施し、IT社会の発展や安全性の向上に貢献しています。
「中小企業の情報セキュリティ対策ガイドライン」
総務省
総務省が公開している、情報セキュリティ対策のガイドラインでは、企業の組織内やウェブサイト上でのセキュリティ対策などを提示しています。他にも、クラウドサービスを提供する事業者が、実施すべき情報セキュリティ対策についても明記されており、ガイドラインに沿ってクラウドサービスを提供しているため、一定のセキュリティレベルが担保されています。
「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」
