クラウドサービスは、仮想サーバを用いて大規模なデータや顧客情報の管理を行うものです。最近ではGoogleドキュメントなど一般的にも利用する機会が多くなっており、情報の取り扱いに関しては厳しくなっています。中でも顧客情報や社内のデータなどを管理するサービスは、できるだけセキュリティ対策がしっかりしたものを選びたいはず。そこで今回は、クラウド型サービスのセキュリティリスクや注意点、選ぶ際のポイントなどについて解説していきます。
目次
情報の漏えいは他人事ではない!?セキュリティリスクの課題
近年、数多くのクラウドサービスが展開されており、管理や運用のしやすさから利用される機会が増えています。しかし、顧客情報や社内の機密事項などをインターネット上に保管する場合、さまざまなセキュリティリスクが発生するものです。
具体的には、社内のちょっとしたミスやハッキングなどの悪意がある行動などで情報が漏えいしてしまうことです。これは決して他人事ではないので、セキュリティレベルはできるだけ高める必要があります。
よくテレビでも、企業の個人情報の流出が問題に取り上げられています。重要な情報の漏えいは盗んだ犯人が当然悪いですが、会社の管理責任も問われることもあるのです。
では一体セキュリティリスクに対する課題にはどんなものがあるのか、具体的に解説していきます。
不正アクセス・不正ログイン
通常クラウドサービスを利用するには、インターネットを介してパソコンやスマートフォンなどのデバイスからアクセスします。そのため社内の従業員はもちろん、会社とは関係のない第三者にもアクセスできる可能性があるのです。
そして悪意のあるユーザーがウィルスやマルウェアを利用し、システムの脆弱性をついて不正にアクセスする可能性もあります。
多くのクラウドサービスは、この不正アクセスを防ぐために様々なセキュリティを設けています。しかしずっと同じセキュリティでは、プログラムが解析されて新たな脆弱性が発見されることも。ですから、クラウドサービスを提供する企業は日々改良を重ねています。
サービスを提供してから、全く更新プログラムなどのアップデートがないクラウドを利用する場合は、導入の検討を慎重にしたほうが良いかもしれません。
データ保全
データ保全の点においても、クラウドサービス特有のセキュリティリスクはあります。それはインターネット上にシステムがあるため、第三者の影響を受けやすいことです。
クラウドサービスは、基本的にサーバーの管理やシステムのメンテナンスなどのサービスを提供する業者が行います。ですから業者側で障害が発生したり不具合が起きたりして、保存したデータの消失やサービス自体が利用停止となる可能性があるのです。
一時的な不具合でのサービス停止であれば、システムの復旧により元通りになります。しかし一度データが消えてしまった場合、復元するのは困難なこともあるでしょう。
そのため万が一に備えて、データのバックアップを行っておくのが賢明です。もちろん、社内の従業員がミスを起こすことも考えられます。さまざまな理由でデータが消える可能性があるため、それらのリスクを減らすためにもバックアップは有効です。
運用管理
クラウドサービスは、パソコン内で利用するサービスとは仕様が違うことも多いです。例えば、ログインIDやパスワードを入力することでクラウドサービスが利用できるため、全く関係ない人でもログイン情報を知っていればアクセスできます。
逆に、パソコン内やイントラネット(企業内のプライベートネットワーク)で管理運用する場合は、ログイン情報を知っていても企業内にあるパソコンからでないと利用できません。
インターネット上でシステムの管理運用を行うには、それだけ危機管理をもたなくてはならないのです。これらの意識を社内の従業員に周知することも、大事な業務のひとつと言えるでしょう。
そして不用意にログイン情報が流出しないよう徹底管理し、定期的にパスワードを変更することが必要不可欠です。
クラウドサービス利用時に注意すべきこと
クラウドサービスは、ログイン情報を知っていれば誰でもログインできることや、常にデータがインターネット上にあることでさまざまな懸念事項があります。もちろんセキュリティ対策を万全にしておけば、それらの問題にも対応できる可能性は格段に上がるでしょう。
しかし、この世に絶対ということはありません。だからこそ、少しでも懸念事項を多く知り危機管理の意識を高めておいたほうがよいのです。
安全に利用するためのセキュリティ対策
クラウドサービスは顧客データなどを保管するため、セキュリティ面はかなり重要な部分です。特にビジネスに利用するものほど、大事なデータを取り扱うことが多いでしょう。
ですから、比較的クラウドサービスのセキュリティ面はしっかりしていることが多く、カスタマイズできることもあります。全部理解することは難しいですが、セキュリティについてある程度知っておくことは重要です。
クラウドサービスに限らずインターネットを介しているものは、見えないところから第三者が侵入してくる可能性があります。攻撃性のある不正アクセスやWi-Fi回線からの盗聴、ログイン情報の流出など情報が漏れる原因は数多く存在するのです。
少しでも安全に利用するために、できる限りのセキュリティ対策を打つことは必須事項と言えるでしょう。
ID・パスワード認証
IDやパスワードといったログイン情報が外部に漏れなくても、解析されて侵入される恐れがあります。その代表的な例が、パスワード番号を総当たりで入力して無理やり解析するブルートフォースアタックです。
一番原始的な方法ですが、時間をかければいつかは解析されてしまうことでしょう。
これらのログイン情報での侵入を防ぐには、
- パスワードの連続入力を制限する
- ワンタイムパスワードの設定
などの対策があります。
パスワードの連続入力の制限は、ある程度の回数ログインに失敗するとしばらくアクセス制限がかかるセキュリティです。これは主にクラウドサービス側で設定されていることが多いでしょう。
ワンタイムパスワードは、ログインする際に生成されるランダムなパスワードを入力する方法です。生成された数字は短時間で効力を失うので、不正アクセスにはとても効果的と言えます。
また、社内でIDやパスワードを管理する際にも、あまり目の付くところにメモを残して置かないことです。ソフトやアプリでパスワードを管理できるツールもあります。
通信データの暗号化
外部からの侵入経路には、通信データから入られる可能性があります。
例えばWi-Fiの回線です。特にコンビニやホテルで使えるフリーWi-Fiは、最低限のセキュリティシステムを有しているものの、あまり信頼度は高くありません。フリーWi-Fiに接続する際にも、「セキュリティが低い」などと記載していることがあります。
ある程度の知識をもっている人なら、これらのセキュリティを突破することは難しくありません。そのため外出時に急ぎの案件が入った時は、あまり公共のフリーWi-Fiを使わない方がよいでしょう。
そして企業のインターネット回線がWi-Fiの場合は、WPA2などの高度なセキュリティシステムのものを利用してください。ただ最近のWEBサイトは情報を暗号化するSSL化が進んでいるので、仮にWi-Fiのセキュリティを突破されたとしても、そう簡単には盗聴されることも少ないでしょう。
データの保管
クラウドサービスにおいて、データが保管される場所を知っておくことも重要です。なぜならデータセンターが海外にある場合、その国の法律によっては強制的にデータベースが差し押さえられることもあるからです。
実際にアメリカでは、2009年にFBIが調査するためサーバが強制的に停止されており、約50社もの企業が利用できない事態に陥っています。過剰な捜査権限だったこともあり現在では少し制限されているようですが、完全にリスクがなくなったとは言えないのが現状です。
クラウドサービスによっては、海外のデータセンターで情報を保管しています。情報漏洩だけでなくサービスの利用が停止される恐れもあるため、できるだけ国内にデータセンターを置いているクラウドサービスを選んだほうがよいでしょう。
退職者のID(ログイン)処理
退職者が出た場合、そのログイン情報などを適切なタイミングで処理する必要があります。いつまでも退職者のIDが残っていると、自宅のパソコンやスマートフォンからログインされる恐れがあるからです。
たとえ退職者本人にその気が無くても、第三者を介して情報漏えいする危険性もあるでしょう。そのため速やかに対応することが大切です。
しかし、退職したからといってすぐさまデータを削除するわけではありません。中には、給与情報などの後々必要になるデータが出てくる可能性があるからです。そうしたサービスの場合、退職者情報を入力することで退職した日から自動的にログイン権限が削除できるものがあります。
引き継ぎの関係で退職後もログインする場合にも、日時が設定できたり手動でログイン権限を変更できるものも多いです。
クラウドサービスを選ぶ際のポイント
セキュリティ面が優れているクラウドサービスを選ぶにはいくつかのポイントがあります。具体的には、以下の通りです。
クラウドサービス事業者が行うべき主要な情報セキュリティ対策
- データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
- データのバックアップ
- ハードウェア機器の障害対策
- 仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性(ぜいじゃくせい)の判定と対策
- 不正アクセスの防止
- アクセスログの管理
- 通信の暗号化の有無
データセンターの物理的なセキュリティ対策は、どのクラウドサービスでもある程度の水準はありますが、確認しておくに越したことはありません。
他にも、サーバのトラブルでデータが紛失する可能性もあります。そのため確実なバックアップ体制が整っているかなども重要な判断材料です。
クラウドサービスの元となるハードウェア機器についても「きちんと保守されているか」などの障害対策がなされているかが大切です。そしてホスト側のOSやソフトウェア、アプリケーションが随時更新されており、万全のセキュリティ対策がなされているかも重要な項目です。
悪意のあるユーザーは、それらを構築するシステムの脆弱性を突いて攻撃してきます。常に最新の状態に保つことでマルウェアなどからの攻撃を防ぎ、不正アクセスの防止につながるのです。
アクセスログがきちんと管理されていることも重要となります。いざ不正アクセスがあった場合などの原因追及や証拠として残せるからです。その際の情報開示などの規約もチェックしておきましょう。
通信の暗号化は、基本的に高い水準で満たしているクラウドサービスがほとんどだと思います。しかし、WEBページがきちんとSSL化されているは確認しておいてください。
これらの項目は、必ずしも全てが最高水準である必要はありません。企業の情報セキュリティポリシーを定めて、クラウドサービス事業者との契約内容や規約などである程度の基準を決めておくことが大切です。
クラウド型とオンプレミス型のセキュリティ面
近年注目されているクラウド型のシステムやサービスですが、元々はサーバやハードウェアなどを会社内に設置するオンプレミス型が主流でした。運用する際の利便性や効率の面ではそれなりに優位性のあるクラウド型ですが、セキュリティ面においてはどちらが優れているのでしょうか。
オンプレミス型
オンプレミス型は、基本的に社内ネットワークを利用して運用されています。そのため外部から攻撃を受ける可能性は低く、情報漏えいなどのセキュリティ面でのリスクはクラウド型に比べて軽減されます。
ネットワーク機器などのカスタマイズ性が高いのもメリットになります。なぜなら、自社における情報の機密性などを維持するための方針である「情報セキュリティポリシー」に合わせて環境構築できるからです。
さらにオフライン環境で動作することから、ネットワーク障害などによる被害も受け付けにくくなります。
クラウド型
クラウド型は、何と言ってもインターネットに接続するためセキュリティリスクは高まりやすいです。しかしクラウド型サービスの多くはデータの送受信に高度な暗号化が施してあるなどの高いセキュリティを構築しています。中にはオプション機能である程度のカスタマイズ性はあるので、柔軟な対応も可能なのです。
事業者側に安全性や機密性などが依存するため、導入するクラウドサービスの選定は重要になるでしょう。
実際のところ、セキュリティ面に関してはオンプレミス型もクラウド型も水準は高いです。ただセキュリティリスクの可能性が広がっている分、クラウド型に不安が残るのは仕方のないことだと言えるでしょう。
クラウド型移行のメリット
オンプレミス型からクラウド型のサービスに移行することで、得られる恩恵は大きいです。特に、データセンターの設置などでかなりの初期費用になるオンプレミス型と違い、クラウド型は基本的に初期費用はほとんどかかりません。
さらに自社のデータセンターで運用していると、機器のメンテナンスなどのシステムの管理コストがかなり負担になりますが、クラウド型だとこれらの管理コストはサービスを提供する事業者が負担します。
これはセキュリティ面に関しても同様です。もし自社でデータセンターを運用するノウハウや知識があまりなければ、サーバ管理のプロであるクラウド型のサービスに任せたほうが安心して運用できます。
そして今やクラウド型でもセキュリティ面で劣っていないことを、株式会社インゲージのコラムでも書かれています。
このクラウド vs 自社データセンターのセキュリティに関する比較について、アメリカのIDCが発表したレポートによりますと下記のように書かれています。
- 自社データセンター(オンプレミス)の方がセキュリティが良いという考え自体が自社データセンターのセキュリティを低下させている。
- クラウド環境は企業が考えているよりもずっと高セキュリティ。
- サーバーを増強したり構成変更する上でクラウドは自社データセンターよりも柔軟。
- クラウドであっても、自社データセンターであってもセキュリティリスクは存在する。
- 今後、クラウドのセキュリティは更に強化されていく。(自社データセンターが強化されるよりも速いスピードで)
インゲージ社は、クラウド型のメール管理システム「Re:lation」を提供する企業です。「Re:lation」は、PCやスマートフォンなどのデバイスを選ばないクラウド型のサービスです。
多人数での運用を想定されているため、ステータス表示やラベルによる仕分けなどでスムーズなメール管理業務を遂行できます。
セキュリティに関しては、情報セキュリティマネジメントの国際規格「ISO27001」を取得。情報セキュリティ基本方針についても、WEBサイトに記載しています。
このように現行のクラウド型サービスは、機能性だけでなくセキュリティ面においても重要視されているのです。
クラウド型もセキュリティ対策に力を入れている
インターネット上にあるサービスは、常にセキュリティリスクがあるからこそ数多くの対策が施されています。クラウド型のサービスも、今や自社で運用するオンプレミス型の管理システムと遜色ありません。
だからといって、セキュリティ管理を全て事業者に任せっきりにするのではなく、Wi-Fi環境の構築や社内への注意喚起など社内で行えることは実践する必要があるでしょう。従業員一人ひとりが情報漏えいの危険性をよく認識することで、多少なりともセキュリティリスクを軽減できます。
実際にクラウドサービスを導入する際は、クラウドサービス事業者が行うセキュリティ対策を確認してください。そして自社が求める水準を満たしているかを見極め、導入を検討しましょう。