本文へジャンプします。

TOP

ニフクラクラウドナビ

クラウド トップ>クラウドナビ>クラウド技術解説>クラウドサービス検討時にチェックしておきたいセキュリティとリスクのポイント

クラウドサービス検討時にチェックしておきたいセキュリティとリスクのポイント

クラウドサービスの利用も一般的になり、業務に導入した際のメリットも認知されるようになってきました。その一方で重要なデータを外部のサーバーに保管し、インターネットを通じて利用するため、セキュリティに関して少なからず懸念を感じるという方もいるかもしれません。

セキュリティ面の不安から導入を躊躇している方へ向けて、クラウドにおけるセキュリティのポイントについて見ていきましょう。

クラウドのセキュリティが不安…その前にオンプレミスなら安心か?

クラウドのセキュリティが不安…その前にオンプレミスなら安心か?

クラウドサービスは、サーバーなどのインフラを意識することなく、場所を問わずに利用できることが利点ですが、「会社の大事なデータを社外の手が届かない場所に置いておくのはちょっと……」といった、セキュリティ上の不安を感じるという声も聞きます。

そこでまずは、オンプレミスのセキュリティについて考えてみましょう。

たしかにオンプレミスの環境下では、「手元に大事なものを置いておく」というイメージのように、すべてを自社内で管理できて安心感があります。また、予算やリソースを割いた分だけセキュリティを強化できることも、安全性を確保しやすいと感じる一因かもしれません。

しかし、自社内にデータを保管する場合、サーバーの運用はもとより、セキュリティ対策の構築から管理・更新までを、すべて自分たちで実行する必要があります。安全なセキュリティを確保するためには専門的な知識・スキルも求められ、場合によっては専任者の配置も必要でしょう。

また、現在ではノートパソコンやスマートフォンなどのデバイスを使って、外出先から社内データへアクセスすることが一般的となってきています。そうなると、セキュリティ確保のため、VPNやゲートウェイセキュリティ、情報漏えい対策なども必要となります。

さらに、日進月歩で巧妙化していく脅威に対抗するには、定期的なアップデートも重要です。これらの作業をしっかりと実施できれば、セキュリティ面での不安はある程度取り除かれますが、かなりのリソースを割かれてしまいます。

クラウドセキュリティの基本的な考え方とは

そこで導入を検討したいのが、クラウドサービスです。クラウドのセキュリティは、サービス事業者がシステムを用意し、情報セキュリティの専門家が安全に運用しています。

外部からの攻撃を防ぐため、OSやソフトウェアのアップデートは常に最新の状態に保つことが望ましいですが、信頼できるクラウドサービス事業者であれば、確実に最新のセキュリティパッチの適用を行い、OSもよりセキュアなバージョンを適用してくれます。

加えて、近年では未知のウイルスやマルウェアといった新しい脅威が次々と誕生していますが、そうした悪意のある攻撃の変化に応じて必要とされるソリューションを、クラウド事業者が迅速に提供してくれるのも利点です。

信頼できるクラウドサービスを利用することでセキュリティ構築のためのコスト負担を減らせ、運用管理のためのリソースを割かずに最新のセキュリティ環境を維持できるのは、運用面ではかなり大きなメリットでしょう。社外のサーバーにデータを置くことに抵抗を感じるという理由だけでクラウド利用を選択肢から排除してしまうのは、効率化の面から見るともったいないかもしれないですね。

また、クラウド利用時は自社内に物理的なサーバーを設置する必要がないため、停電などのトラブルによるデータ破損・消失のリスクが下げられるのも、注目しておくべきポイントです。

オンプレミスとは違うクラウドならではのリスクと対策

ここまで説明してきたように、クラウドサービスは安全な利用ができるように、各サービス事業者がセキュリティへの取り組みを行っています。

とはいえ、セキュリティに関して“100%万全”ということは、残念ながらありません。クラウド事業者だけでなく、ユーザー側も必要なセキュリティ対策を行うことが大切です。

では、クラウドサービスを利用する際に、想定されるセキュリティ上のリスクには、どのようなものがあるのでしょうか。

クラウド利用時に遭遇するリスクの種類

クラウド利用におけるリスクはいくつかありますが、発生要因別に「ユーザー側の事由」「インターネット経由」「クラウド事業者側の事由」と、大別して3種類に分けられます。

クラウドを利用しているユーザー側で生じるリスクとしては、

  • 従業員の過失(不正アクセスや誤操作など)
  • 組織内のネットワーク障害

などが考えられます。次にインターネット経由で発生するリスクには、

  • 外部からの不正アクセス
  • マルウェア、DoS攻撃をはじめとしたサイバー攻撃

といった脅威が存在します。また、クラウド事業者が要因となるケースもあり、

  • システムの高負荷や障害
  • 火災/地震/水害などの自然災害
  • 事業者内部で発生した不正アクセス

というようなものが該当します。

脅威の発生ポイント別に対策法が存在

こうしたリスクは、 クラウド利用ユーザーやとクラウドとつながるネットワーク、クラウド基盤そのものなど、起因するポイントがいくつか存在しますが、適切に対処することで安全に運用することができます。

クラウド利用者とクラウドをつなぐネットワークにおける脅威に対しては、クラウド事業者側とユーザー側の拠点間をVPN接続することでセキュアな通信環境を確保できます。

サーバーがさらされる外部からの脅威に関しては、クラウド事業者が「WAF (Webアプリケーションファイアウォール)」や「不正侵入検知・防御システム(IPS/IDS)」などの各種対策を提供していることも多いです。

ユーザーの社内ネットワークにおける脅威については、ファイアウォールを用いて通信を適切に制御しておきましょう。クラウドを利用するにあたり、安全な環境を保つためには、クラウド事業者とユーザーそれぞれが、セキュリティ対策に関して適切な取り組みを行う必要があるのです。

ビジネスパートナーとしてクラウド事業者と利用者がセキュリティ対策を補完し合うのがベスト

ユーザーと事業者、両方の観点からセキュリティを見てきましたが、お互いに役割と責任を理解した上でセキュリティ対策の実践が必要であるという考え方は「共同責任モデル(Shared Responsible Model)」と呼ばれています。

これは責任が属する範囲を定めたモデルで、一般的な例としては、クラウド事業者にはサービス基盤や管理画面、APIなどのインタフェースの一部などに関する責任が帰属し、それ以外のネットワークやOS、アプリケーション、データはクラウドサービスを利用するユーザー側に帰属するといった形で切り分けられます。

多くのクラウドサービスでは、サービスに責任を負う範囲について、SLAや規約/約款、ホワイトペーパーなどでサービスのセキュリティ水準について情報を公開されています。一度公開されている情報について、複数の事業者ごとに見比べてみるのもよいでしょう。

第三者機関によるセキュリティ評価

また、クラウドサービスには第三者機関による認証制度があり、2005年に国際標準化機構(ISO)が策定した「ISMS(情報セキュリティマネジメントシステム)」の国際基準規格「ISO 27001」や、クラウドセキュリティ推進協議会が運営する「クラウド情報セキュリティ監査制度」による「CSマーク」などがあります。

こうした認証の有無も求めるセキュリティレベルを満たしているか判断する材料になるでしょう。

クラウドサービス切り替え時に必要なセキュリティ対策のまとめ

クラウドであれオンプレミスであれ、情報セキュリティにおいて「絶対安全」は残念ながらありません。常に新たな脅威が生まれ、その都度セキュリティ対策が必要になるからです。

悪意ある攻撃に対しては個別に対策を施す必要がありますが、コスト面や運用面で負担を考えますと、クラウドサービスの利用も選択肢と入ってくるのではないでしょうか。

クラウドに対する不安をすぐに無くすことは難しいかもしれませんが、信頼できるクラウド事業者を選定して正しく運用すれば、オンプレミスと比べてもセキュリティ強化はしやすいといえます。

信頼できるクラウド事業者を選び、脅威に対する正確な対策を実施し、なおかつ複数のセキュリティ対策を講じておくことが、クラウド運用へ切り替える際の重要なポイントです。自社が求めるセキュリティ要件を満たしているクラウドサービス事業者があれば、積極的に検討してみてはいかがでしょうか。