1990年代、各企業で情報システムの導入が進んでいきましたが、当時、データは手元で管理をするのが当たり前で、セキュリティ管理もそれぞれで行っていました。ローカルPCのストレージや社内LANにおいた共有サーバーといった、自社で管理している限定的な部分だけ気をつけていれば問題ありませんでした。
その後、クラウドコンピューティングがどんどん普及していきました。今や、データはインターネット上のクラウドサーバーに保存されることが当たり前となりました。クラウドサーバーは一般的には他社と共同で利用されており、自社専用ではありません。またデータがローカルとリモートの間を行き来し、常にインターネットに繋がっています。セキュリティ対策を講じなくてはいけない範囲がグッと広がり、より難しくなったといえるでしょう。
そこで今回は、クラウドセキュリティに潜むリスクや対策について、解説していきたいと思います。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
クラウドセキュリティとは?
クラウドセキュリティとは、クラウド環境においてデータの保護や不正アクセスを防止するために行うセキュリティ対策のことを指します。
近年は、自社内にサーバーを置かず、クラウドサービスを利用する企業が増加しており、その重要性は高まっています。
クラウドセキュリティの対象となる主なサービスには以下のようなものがあり、それぞれ特徴が異なります。
●SaaS
特定のソフトウェアやアプリケーションを、インターネット経由で提供するサービス。アプリケーションの防御からサービス運用まで、通常はサービスプロバイダーがセキュリティの責任を負います。したがって企業側はアクセス権の設定、アクセスログの確認、バックアップの取得など、データやコンテンツに対するセキュリティ対策を実施します。
●PaaS
アプリケーションを動かすOSやミドルウェアを、インターネット経由で提供するサービス。企業側は、アプリケーションとデータに対してセキュリティ対策を施さなくてはならず、セキュリティ対策ソフトの導入を検討する必要があります。
●IaaS
サーバーやネットワーク、ストレージなどのインフラを、インターネット経由で提供するサービス。メモリ容量やストレージなどを自由に設定してサーバー環境をクラウド上に構築できます。企業側は、データやコンテンツだけではなく、OS・ミドルウェアなど幅広い範囲に対してセキュリティの責任を負うことになります。
クラウドサービスは、企業側で機器を用意する必要がないため、短期間での導入が可能です。また、原則としてOSなどのアップデートもサービスプロバイダー側に一任できるので、多くの時間や人材をメンテナンスに割く必要もありません。
しかしながら、クラウドプロバイダー側で障害が起きてしまうと、ユーザーへのサービスが停止してしまうこともあります。さらに、企業とクラウドプロバイダー間で、セキュリティの責任を負う範囲があいまいになってしまうと、セキュリティ対策が十分にできなくなる可能性もあり、注意が必要です。
クラウドセキュリティで注意すべきリスクとは?
クラウドは、高いレベルのセキュリティ対策を講じていても、100%安全とは言い切れません。クラウドサーバーは、どれもインターネット上に置かれているため、インターネットからの攻撃にさらされるリスクがあります。下記のようなセキュリティリスクを想定し、対策を立てる必要があります。
・不正アクセス
管理者のIDパスワードを不正に入手したり、様々な方法でコンピューターシステムに侵入されるリスクがあります。これにより、情報漏えいやシステムの停止など、被害も多岐にわたる可能性があります。
・サイバー攻撃
サーバーの脆弱性を突いたサイバー攻撃、DDoS攻撃などのサイバー攻撃にさらされるリスクがあります。これにより、データの盗難や改ざん、システムの停止といった被害をもたらす可能性があります。
・データ消失
最近被害が広がっているランサムウェアによる攻撃ではデータが暗号化されてしまい、使えなくなるリスクがあります。また不正アクセスだけではなく、システム障害や使用者の誤操作などによって、データを消失してしまうリスクもあります。
クラウドサーバー管理者が行うべき対策とは?
クラウドサービスの利用は、便利な一方でリスクが伴うということがお分かりいただけたと思います。では、実際に企業のセキュリティ担当者はどのような対策をすべきかについてもご紹介したいと思います。
・安全性の高いサービスの選定
クラウドサービスのセキュリティレベルは、サービスプロバイダーのセキュリティ技術によるところが大きいです。そのため、クラウドサービスのセキュリティ機能やセキュリティポリシーなどを確認したうえで、安全性の高い適切なクラウドサービスを選定するようにしましょう。
・アクセス制御
不正アクセスによるデータの改善や情報漏えいといったリスクを減らすためには、アクセス制御が有効な手段です。
アクセスを許可するIPアドレスの設定や、データの修正や削除などの操作ができるユーザーをあらかじめ設定すると、万が一トラブルが起きた場合にも、原因の究明がスムーズです。
また、多要素認証やワンタイムパスワードの使用で、ユーザー認証の強化を図るのも、セキュリティ強化に繋がります。
・暗号化
クラウドサービスの場合、インターネットを経由して情報をやりとりするので、通信途中で第三者にデータを盗まれる危険が常につきまといます。
その対策としては、データの暗号化は欠かせません。データを暗号化すれば、第三者にデータの中身を読み取られることなく、安心してやりとりができるようになります。
また、クラウドデータベース上に保管するデータも暗号化することで、もし不正アクセスや誤送信が起きたとしても、情報漏えいの被害を防げます。
・脆弱性の検知
セキュリティ対策をしっかり講じているつもりでも、人間が構築している以上は、どのシステムにも脆弱性が生じる可能性があることは否めません。そこでおすすめしたいのが、定期的な脆弱性診断の実施です。
脆弱性を素早く検知することによって、万が一サイバー攻撃を受けた場合でも、影響を最小限に抑えられます。
・バックアップ
前述のとおり、データの消失は様々な原因で発生する可能性があります。そこで、いざというときに備えて、定期的なデータのバックアップが重要となります。多くのクラウドサービスでは、バックアップ機能が備わっているので、日時を指定して行う自動バックアップの設定など、手間をかけずに出来るような環境作りをしておくといいでしょう。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
