記事の監修
S.Sato
記事の監修
S.Sato
マネジメント&イノベーション事業部 開発部/2グループ グループマネージャー
資格:Microsoft Offiece Specialist Master 2007、ITパスポートなど
2022年よりMicrosoft365とPowerPlatformの案件を担当。
それ以前は業務・Web系システムを要件定義からリリースまでの開発に従事。
IT業界歴15年の経験を活かし、PJを牽引し後続の育成にも力を注ぐ。
趣味は散歩で、思考が煮詰まった際には、近所の緑道を散歩し、新たな発見や自然からのインスピレーションを受けている。
この記事では、クラウドセキュリティの必要性やリスク、対策や具体的なリスクケースなどを解説します。クラウドに対する理解を深め、情報やデータの保護に努めましょう。
Contents
目次
現代においてクラウドはなくてはならないものになりました。クラウドを活用することで業務の利便性を大きく向上させられる反面、セキュリティリスクが増してしまう可能性もあります。
この記事では、クラウドセキュリティの必要性やリスク、対策や具体的なリスクケースなどを解説します。クラウドに対する理解を深め、情報やデータの保護に努めましょう。
クラウドセキュリティを考える必要性
なぜ今クラウドセキュリティの重要性が高まっているのでしょうか。まずは、クラウドセキュリティの必要性について解説します。
クラウドコンピューティングの利用が増大している
現在では、従来のようなオンプレミス型ではなく、クラウドコンピューティングの利用が進んでいます。業務システムには大きく分けて「オンプレミス」と「クラウド」の二種類の利用形態が存在します。
オンプレミス形態は、ソフトウェアを走らせたり、データを保管する機器を自前で調達し、管理運用を自社内で行う形式です。対して、クラウドはベンダーが管理しているサーバーでソフトウェアやデータを保管し、ユーザーはそこにアクセスしてシステムを利用するやり方です。
クラウドのメリットとしては、下記のようなものが挙げられます。
- 機器を調達する必要がないので、コスト減に繋がる
- アップデートやメンテナンス、保守が自動で行われる
- セキュリティをある程度ベンダーに投げられる
クラウド最大の利点としては、サーバーやストレージ機器を購入する必要がないことによるコスト減が挙げられるでしょう。システムの導入や運用にはそれなりのコストがかかりますが、クラウドを利用すれば比較的安価ですみます。
また、アップデートやメンテナンス、各種セキュリティ設定をベンダーが自動的に行なってくれるのもメリットです。オンプレミスの場合、その辺りも自分達でまかなう必要が生じます。
クラウドは便利な反面、リスクもある
クラウドにはさまざまなメリットがありますが、反面デメリットやリスクも存在します。一例としては、下記のようなものが挙げられるでしょう。
- システムの運用を100%コントロールできない
- アクセス経路管理は自社で行う必要がある
クラウドシステムを利用する場合、運用を自社で100%コントロールすることはできません。ソフトウェアやデータは基本的にベンダー管理下のサーバーに保管されることになるからです。
そのため、サーバー領域のセキュリティはベンダー側で管理することになりますが、アクセス経路などの部分はユーザーが管理するのが一般的です。どのような通信網を使い、どのようなデバイスでアクセスするか、をしっかりと管理することが求められます。
クラウドセキュリティを確保しないと安全に業務を進められない
クラウドに限らず、セキュリティの重要性は日に日に増しています。業務がオンラインに移行したことにより、今までには考えられなかった脆弱性が生まれるようになり、そこから被害や損失が発生しやすくなりました。
「じゃあITやクラウドを使わなければいいのでは?」と思う人もいるかもしれません。しかし、今やITやクラウドを使わず業務を進めるのは大変難しい状況です。
従来にはなかったようなリスクを抱えるのは事実ですが、それにも増して利便性や生産性の向上が見込めます。極端な話、同業他社がITやクラウドを活用して生産性を上げているのに自社だけが使っていない場合、シェアを根こそぎ奪われてしまう可能性も考えられます。
ITやクラウドが必要である以上、セキュリティを担保して業務に臨む必要があるわけです。
クラウドセキュリティの対象となるサービス
クラウド環境で発生するセキュリティリスクへの対策であるクラウドセキュリティは、どのようなサービスをセキュリティ対象としているのでしょうか。
クラウドサービスには、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)、Oracle Cloud Infrastructure(OCI)など、知名度の高いサービスを含め、様々なものがあります。
こちらでは、クライドセキュリティの対象となるサービスについて解説いたします。
クラウドセキュリティはサービスごとに特徴や目的が異なるため、事前に導入の目的を明確にして、適切なサービスを選択してみてください。
オンプレミス
まず初めに、オンプレミス型のセキュリティ対策についてご紹介いたします。オンプレミスとは、クラウドセキュリティの登場以前に主流だったシステムの利用形態です。
オンプレミスでは、パソコンやサーバなどの端末やネットワークといった環境を、自社で所有し運用します。サーバやネットワークの管理や責任の範囲が社内と社外で明確に分かれているため、自社で一貫したセキュリティ対策を実施できるというメリットがあります。
ただし、オンプレミスの場合は社内にネットワーク環境を構築する必要があるため、広いスペースを占用する必要があったり、導入や運営の費用負担が大きいという懸念点があります。
オフィススペースを圧迫することなく、また拡張性や費用面の自由度が高いクラウドサービスは、今後も需要が高まっていくことが予想されます。
IaaS
IaaSとは、ネットワークやサーバ、ストレージ機能などのインフラを、インターネット経由で提供するサービスです。IaaSでは、自社でサーバーなどのハードウェアをもたずにインターネット経由で必要な時に必要なだけサーバーやストレージ、ネットワークリソースを利用することができます。
機能の購入にかかるコストを抑えつつ、メモリ容量やストレージなどを自由に設定して環境を構築することができるので、自社の特性に合わせた環境構築を行いたいとお考えの方におすすめです。
IaaSの運用は基本的に自社で行わなければならないため、各々でセキュリティ対策を行う必要性があります。具体的には、Webアプリケーション・ミドルウェア・OSのセキュリティ対策に取り組まなければなりません。
クラウドセキュリティの利用と合わせて、利用側も独自のセキュリティ対策に取り組むことで、セキュリティリスクの発生を予防することができます。
PaaS
PaaSとは、クラウドにあるプラットフォームが利用できるサービスです。大規模なデータセンターに、アプリケーションを稼動するためのネットワーク、サーバシステム、OSやミドルウェアなどのプラットフォームが用意され、企業ユーザがそのプラットフォーム上で開発を行うことができます。
PaaSを活用すると、アプリケーションの稼働基盤を構築・運用する手間を削減できます。
利用側はデータからアプリケーションまでに領域に対するセキュリティ対策を実施する必要があります。アプリケーションに潜む脆弱性にいち早く気付くには、脆弱性診断の実施が有効です。
また、サイバー攻撃に対する予防策としては、セキュリティ対策ソフトの導入がおすすめです。
SaaS
SaaSとは、クラウドにあるソフトウェアを利用できるサービスです。アカウントをもっていれば、インターネット経由でどこからでもアクセスすることができます。
SaaSを活用することで、チーム間のファイルやデータを共有した利用が可能となります。ソフトウェアのバージョンアップがサービス提供者側で更新されるのも特徴の一つです。
SaaSにおけるアプリケーションの防御からサービス運用までは、サービスプロバイダがセキュリティの責任を負います。利用側はデータやコンテンツに対してセキュリティ対策を行う必要があります。
また、利用側がアクセス権限をきちんと管理することも重要です。
クラウドセキュリティを導入するメリット・デメリット
次に、クラウドセキュリティを導入するメリット・デメリットについて解説いたします。
クラウドサービスの導入を検討している場合は、ぜひ参考にしてみてください。
クラウドセキュリティを利用するメリット
まずは、クラウドサービスを利用するメリットからご紹介いたします。クラウドサービス導入のメリットは以下の通りです。
- 初期費用やランニングコストを削減できる
- 基本的な設定をサービスプロバイダ側に一任できる
- 契約後すぐに使用開始できる
- インターネット環境があればどこでも使用できる
- 必要に応じて性能・容量・機能を変更できる
クラウドサービスは、企業側でハードウェアやストレージなどの機器を用意する必要がなく、また機材を設置するスペースも不要なので、初期費用や導入負担を大幅に軽減することができます。
また、オンプレミス型と比べてもランニングコストを節約できる傾向にあり、拡張性も高いため、自由度の高い活用を望む場合におすすめです。
クラウドセキュリティを利用するデメリット
次に、クラウドサービスを利用するデメリットをご紹介いたします。クラウドサービス導入のデメリットは以下の通りです。
- サービス提供者のシステム障害が自社サービスにも影響する
- 個人端末から使用されるリスクがある
- 契約内容によってはカスタマイズの自由度が低いこともある
クラウドサービスは自社での機材の用意を必要としないので、サービスプロバイダ側で障害が起きた際は、自社サービスに影響が及ぶことが考えられます。
また、セキュリティを負う範囲があいまいになり、セキュリティ対策が不十分になることも考えられます。クラウドサービスを導入するときは、セキュリティ対策の方法について綿密に計画立てる必要があるでしょう。
クラウドセキュリティの導入を成功させるためのポイント
クラウドサービスを導入する際は、セキュリティ対策について事前に理解しておくことが重要です。
クラウドサービスの導入後、自社で対策すべき範囲が分かっていなければ、脆弱性が生じてしまいます。
セキュリティリスクを軽減するためにも、適切な対策を実施することは非常に重要です。
経済産業省から発行されている『クラウドサービス利用のための情報セキュリティマネジメントガイドライン』や、総務省が発表している『クラウドサービス利用・提供における適切な設定のためのガイドライン』を参考に、クラウドセキュリティに関する理解を深めていきましょう。
参照:クラウドサービス利用のための情報セキュリティマネジメントガイドライン 2013年度版
:クラウドサービス利用・提供における適切な設定のためのガイドライン 2022年 10月
クラウドによるセキュリティリスク
それでは、次にクラウドによるセキュリティリスクを具体的に見ていきましょう。
データが分散的に保管されている
クラウドでは、データが分散的に保管されることになります。オンプレミスの場合はデータを全て自社サーバー内に集約することが可能でしたが、クラウドではベンダー側のサーバーに保管するのが一般的です。
ただ、場合によっては業務の都合で自社のデバイスにデータをダウンロードしたり、複製するようなこともあるかもしれません。この場合、同じデータが複数箇所に存在することになるため、漏洩のリスクが増大することになります。
もちろん、ベンダー側のサーバーは強固なセキュリティで守られているため、そう簡単に漏洩するわけではありません。どちらかというと、自社側の情報管理体制の問題にシフトします。
クラウドの管理者は利用者の同意を得ず情報にアクセスできる
クラウドコンピューティングは大変便利なものですが、情報やデータの管理者が自社ではなくクラウド側になるのが一般的です。その分クラウドベンダーは細心の注意を払ってデータや情報を保護してくれることが期待できますが、彼らはユーザーの同意なく情報にアクセスできるのも事実です。
当然ながら守秘義務で保護したり、むやみにデータに触れることはできないようにしている可能性は高いです。しかし、人が管理する以上ヒューマンエラーをゼロにすることはできません。
「自社の管理が及ばない範囲のミスで損失が発生してしまった」ということになる可能性も(低いながら)存在します。
対策がユーザー個人に依存することがある
クラウドのリスクとして「対策がユーザー個人に依存する」点も挙げられます。クラウドのシステムにアクセスするのは「会社全体」ではなく「そこで働いている個人」であることが多いため、各個人がセキュリティ対策を行うことも求められるでしょう。
裏を返せば「会社単位でのセキュリティ方針は問題なかったが、個人のミスで情報が漏洩した」という事態も考えられます。責任の所在がどうなるのかはさておき、社会からは「企業のミス」として見られてしまいます。
情報漏洩の経路が多角的
情報漏洩経路が多角的になりがちなことも、クラウドのリスクとして挙げられるでしょう。クラウドは大変便利な形態ですが、その利便性の高さゆえに「どこからでもどのような端末からでも接続可能」であるのが一般的です。
セキュリティを強化したい場合は経路や端末を制限することも考えられますが、利便性は低下してしまいます。かといって「どこからでもどのような端末からでも接続可能」にすればするほど脆弱性が生まれます。
そのあたりのバランスを上手く調整する必要があるでしょう。
システムにトラブルが生じると使えなくなる
クラウドベースのシステムはベンダー側で運用されているため、システムにトラブルが起きた際は利用不可になってしまいます。その点はオンプレミスでも同様なのですが、問題は「復旧がベンダー側の都合に依存する」点ではないでしょうか。
オンプレミスの場合は全てを自社内で管理しているため、自社の都合で復旧作業を行えます。結果が完全に理想通りとなるわけではありませんが、ある程度のコントロールと見通しは立てられます。
クラウドの場合、復旧作業を行うのはベンダー側になるため、彼らの都合でスケジュールや体制が組まれます。もちろんサービス提供者として全力で作業に当たってくれることが期待できますが、業務全体の見通しが立てづらくなるようなリスクも考えられます。
クラウドセキュリティのレベルが低いことによる具体的なリスクケース
それでは次に、クラウドセキュリティのレベルが低いことによる具体的なリスクケースをいくつかご紹介します。
誤った操作による機密情報の公開
ある決済サービス会社では、同社が保管しているユーザーアカウントの一部識別情報が外部から閲覧可能な状態になってしまっていました。原因は同社が業務を委託していたグループ企業において、従業員が無断でオンラインのバージョン管理サービスにアップロードしていたことに起因します。
公開されていた情報には11件程度のアクセスが確認されており、機密情報が外部に漏れてしまった事例となりました。
クラウドに保管していたデータの消失
あるベンチャー企業では、利便性やコストの面からクラウドサービス(レンタルサーバー)の利用を開始しました。当初は問題なく業務効率化が図れていましたが、ある日ベンダー側で障害が発生し、クラウドサーバーに接続できなくなってしまいました。
その後レンタルサーバーにアクセスしたところ、保管されていた重要なデータが全て消失しており、復旧も不可である旨が通知されることに。オフラインにバックアップを取っていなかったため、同社の重要データは全て消失してしまう事態になりました。
設定ミスによる脆弱性を突かれ情報漏洩
ある米国の金融サービス会社は全業務をクラウドで稼働し、業務効率化を図っていました。しかし、同社が独自運用していたWAF(Web Application Firewall)に対する設定にミスがあり、そこから一億を超える個人情報の漏洩が発生しました。
現代においてクラウドはなくてはならないものですが、正しく設定しないと情報漏洩のリスクが高まってしまいます。
クラウドサービスを選ぶときのポイント
会社で活用するクラウドサービスを選ぶ際は、安全性の高さを基準に選択することをおすすめします。
クラウドサービスの安全性の高さを測る上で重要なのが、情報セキュリティ対策が実施されているかどうかという点です。
サービスプロバイダが実施すべきセキュリティ対策として以下の内容が挙げられます。
- データセンターの物理的な情報セキュリティ対策
- データのバックアップ
- ハードウェア機器の障害対策
- 不正アクセスの防止
- 通信の暗号化の有無
クラウドサービスを契約する際は、以上の点についてセキュリティ対策が行われているかどうかをきちんと確認しましょう。
安全性の高いクラウドサービスを利用することが、セキュリティリスクを予防する第一歩となります。
クラウドセキュリティの技術的な挑戦
クラウドセキュリティは、技術の進化とともに新たな挑戦に直面しています。このセクションでは、クラウド環境における最新の技術的課題とそれに対する解決策を詳しく解説します。
量子コンピューティングの影響
量子コンピューティングは量子ビットを使い、従来のコンピューターでは解決が難しい問題を迅速に解決できる技術です。この技術は、現在広く使用されているRSAやECCなどの暗号化方式を短時間で解読する可能性があり、クラウドセキュリティに重大な脅威をもたらします。この問題に対処するため、量子耐性暗号の開発が進められています。企業は量子コンピューティングの進展に備え、セキュリティ戦略の見直しを検討する必要があります。
暗号化技術の進化
クラウドセキュリティを強化するために、暗号化技術は常に進化しています。例えば、ホモモルフィック暗号はデータを暗号化したままで処理することができ、データの機密性を保ちながらクラウド上での計算を可能にします。
ゼロトラストモデルの採用
ゼロトラストモデルは、「全てのアクセスを信頼しない」というアプローチです。ネットワーク内外のすべてのリソースに対し、ユーザーやデバイスのアクセスを常に検証し、許可されたものだけを認めます。これには、厳格なアイデンティティ認証、マルチファクター認証、継続的な監視が含まれます。このモデルは、従来の境界型セキュリティに代わり、内部の脅威や外部からの侵入を防ぐために重要です。クラウド環境でのセキュリティを大幅に向上させます。
AIと機械学習の活用
AIと機械学習は、クラウドセキュリティにおいて重要な役割を果たします。これらの技術は、異常な活動をリアルタイムで検知し、迅速な対応を可能にするための高度な脅威インテリジェンスを提供します。AIはまた、セキュリティ運用の自動化と効率化を推進し、人的エラーを減少させます。
クラウドセキュリティを高めるには?
クラウドのセキュリティリスクをいくつかご紹介しましたが、ではどのようにすればセキュリティを保護できるのでしょうか。続いて、クラウドセキュリティの高め方について解説します。
適切な設定を行う
一つ目は、サービスやデバイスに対して適切な設定を行うことです。使用しているソフトやデバイスにはさまざまな設定項目が設けられており、正しく設定されてない場合は思わぬ脆弱性が生じる可能性があります。
分かりやすい例で言うと「情報の公開範囲」などが挙げられるでしょう。こちらは主にソフト(サービス)側の設定項目になりますが、クラウドで保管している機密情報を誤って「公開」にしてしまうと、部外者でも情報を閲覧することができてしまいます。
対策としてはもちろん「設定を逐一確認する」などがありますが、いっそのこと「全世界公開できないサービスを選ぶ」のも手です。機能そのものがなければ事故は起きないからです。
デバイスを保護する
サービスにアクセスするデバイスを保護することで、クラウドセキュリティ強化に繋がります。デバイスを保護するためには、下記のような点がポイントです。
- 最新版のアプリやOSを利用する
- 通信は常に暗号化する
- ウイルスソフトをインストールする
最新版のアプリやOSを利用することで、メーカー側で確認された脆弱性を潰すことができます。また、通信を暗号化することで、サーバーとやり取りする情報を保護できるでしょう。
加えて、ウイルスソフトやセキュリティ対策ソフトを導入すれば、広範囲におけるセキュリティを確保できます。
信頼できる通信を利用する
信頼できる通信を利用することで、情報やデータの機密性を高められます。インターネットから業務用クラウドサービスにアクセスする際は、データを暗号化して送受信するのが鉄則です。
しかし、一部フリーWi-Fiなどでは暗号化が行われず内容が盗み見られてしまう恐れがあります。そのような通信を利用するとセキュリティに脆弱性が生じてしまうため、必ず信頼できる通信を利用するようにしましょう。
アクセスを管理する
アクセスを適切に管理することで、クラウドセキュリティの強化に繋がります。システムにアクセス可能な端末を拡大すればするほど業務の利便性は向上しますが、セキュリティリスクも増大します。
業務用クラウドであれば、原則的に登録されている端末以外からのアクセスはブロックした方が好ましいでしょう。また、登録端末であってもどのような経路からアクセスされサーバーとどのような通信を行ったか、などのログを取っておくことも大事です。
アクティビティが細かく記録されていれば、万一の事態に備えることができるからです。
新たな脅威に対応するセキュリティ技術
クラウドセキュリティは絶えず進化する新たな脅威に直面しています。例えば、量子コンピューティングの台頭に対して、量子耐性暗号の開発が進められています。また、ホモモルフィック暗号のような技術は、データを暗号化したまま操作できるため、データの機密性を高める重要な技術です。このような新技術を積極的に取り入れることで、クラウドセキュリティを強化できます。
セキュリティ違反の事例と対応策
セキュリティ違反の事例から学ぶことは、セキュリティ対策を強化する上で重要です。例えば、2019年の米金融大手Capital Oneのデータ侵害事件では、クラウドサーバに設置したセキュリティの設定ミスにより約1億600万人の顧客情報が漏洩しました。このような事例は、アクセス管理の重要性や定期的な設定確認の必要性を示しています。対応策として、継続的なモニタリングと脅威インテリジェンスの導入が効果的です。
法規制の変更とその影響
クラウドセキュリティには法規制の遵守も欠かせません。例えば、EUの一般データ保護規則(GDPR)や米国のカリフォルニア州消費者プライバシー法(CCPA)など、データ保護に関する規制は年々強化されています。これらの規制に対応するためには、データの所在を明確にし、適切なデータ管理と保護を行う必要があります。法規制の変更を常に把握し、迅速に対応策を講じることが求められます。
国際的なセキュリティ基準と規制の紹介
クラウドセキュリティは国際的な規制や基準に従うことが重要です。このセクションでは、主要な国際的セキュリティ規制、業界ごとの基準、国際間の協力、そして規制に対応する効果的な方法について解説します。
主要な国際的セキュリティ規制
クラウドセキュリティに影響を与える主要な国際規制には、EUの一般データ保護規則(GDPR)やアメリカのカリフォルニア州消費者プライバシー法(CCPA)があります。これらの規制は、データ保護とプライバシーの確保に重点を置いており、企業はこれに従う必要があります。
業界ごとのセキュリティ基準
各業界には、特定のセキュリティ基準があります。例えば、金融業界ではPCI DSS(Payment Card Industry Data Security Standard)が、医療業界ではHIPAA(Health Insurance Portability and Accountability Act)が求められます。これらの基準は、業界ごとのリスクに対応するために設けられています。
国際間のセキュリティ協力
サイバーセキュリティの強化には国際間の協力が不可欠です。各国の政府や企業が連携し、情報共有や共同でのセキュリティ対策を行うことで、ランサムウェア攻撃やDDoS攻撃などのグローバルな脅威に対処することが可能になります。
国際規制に対応する効果的な方法
国際的な規制に対応するためには、最新の規制動向を常に把握し、コンプライアンスを維持するための内部プロセスを整備することが重要です。また、規制対応を支援するツールやサービスを活用することで、効率的に規制遵守を実現できます。
まとめ
業務においてクラウドはなくてはならない存在ですが、扱いを間違えるとセキュリティリスクが生じます。クラウドセキュリティを正しく理解し、情報やデータの保護に努めましょう。
Microsoftを導入して
コスト効率をよくしたい
Microsoftに関して
気軽に聞ける相談相手が欲しい
Microsoftを導入したが、うまく活用できていない・浸透していない
社内研修を行いたいが
社内に適任者がいない
Bizwindでは、Microsoft導入支援事業などを中心に
IT・DX推進に関する様々なご相談を承っております。
ご相談・お見積りは無料です。まずはお気軽にお問い合わせください。
担当者に今すぐ質問する
すぐに電話で質問
日時指定で折り返し