記事の監修
S・S
マネジメント&イノベーション事業部 開発部/ユニット1 サブリーダー
資格 Microsoft Offiece Specialist Master 2007、ITパスポート
2022年よりMicrosoft365とPowerPlatformの案件を担当。それ以前は業務・Web系システムを要件定義からリリースまでの開発に従事。
IT業界歴15年の経験を活かし、PJを牽引し後続の育成にも力を注ぐ。
趣味は散歩で、思考が煮詰まった際には、近所の緑道を散歩し、新たな発見や自然からのインスピレーションを受けている。
はこちら.png)
現代においてクラウドはなくてはならないものになりました。クラウドを活用することで業務の利便性を大きく向上させられる反面、セキュリティリスクが増してしまう可能性もあります。
この記事では、クラウドセキュリティの必要性やリスク、対策や具体的なリスクケースなどを解説します。クラウドに対する理解を深め、情報やデータの保護に努めましょう。
なぜ今クラウドセキュリティの重要性が高まっているのでしょうか。まずは、クラウドセキュリティの必要性について解説します。
現在では、従来のようなオンプレミス型ではなく、クラウドコンピューティングの利用が進んでいます。業務システムには大きく分けて「オンプレミス」と「クラウド」の二種類の利用形態が存在します。
オンプレミス形態は、ソフトウェアを走らせたりデータを保管する機器を自前で調達し、管理運用を自社内で行う形式です。対して、クラウドはベンダーが管理しているサーバーでソフトウェアやデータを保管し、ユーザーはそこにアクセスしてシステムを利用するやり方です。
クラウドのメリットとしては、下記のようなものが挙げられます。
クラウド最大の利点としては、サーバーやストレージ機器を購入する必要がないことによるコスト減が挙げられるでしょう。システムの導入や運用にはそれなりのコストがかかりますが、クラウドを利用すれば比較的安価ですみます。
また、アップデートやメンテナンス、各種セキュリティ設定をベンダーが自動的に行なってくれるのもメリットです。オンプレミスの場合、その辺りも自分達でまかなう必要が生じます。
クラウドにはさまざまなメリットがありますが、反面デメリットやリスクも存在します。一例としては、下記のようなものが挙げられるでしょう。
クラウドシステムを利用する場合、運用を自社で100%コントロールすることはできません。ソフトウェアやデータは基本的にベンダー管理下のサーバーに保管されることになるからです。
そのため、サーバー領域のセキュリティはベンダー側で管理することになりますが、アクセス経路などの部分はユーザーが管理するのが一般的です。どのような通信網を使い、どのようなデバイスでアクセスするか、をしっかりと管理することが求められます。
クラウドに限らず、セキュリティの重要性は日に日に増しています。業務がオンラインに移行したことにより、今までには考えられなかった脆弱性が生まれるようになり、そこから被害や損失が発生しやすくなりました。
「じゃあITやクラウドを使わなければいいのでは?」と思う人もいるかもしれません。しかし、今やITやクラウドを使わず業務を進めるのは大変難しい状況です。
従来にはなかったようなリスクを抱えるのは事実ですが、それにも増して利便性や生産性の向上が見込めます。極端な話、同業他社がITやクラウドを活用して生産性を上げているのに自社だけが使っていない場合、シェアを根こそぎ奪われてしまう可能性も考えられます。
ITやクラウドが必要である以上、セキュリティを担保して業務に臨む必要があるわけです。
それでは、次にクラウドによるセキュリティリスクを具体的に見ていきましょう。
クラウドでは、データが分散的に保管されることになります。オンプレミスの場合はデータを全て自社サーバー内に集約することが可能でしたが、クラウドではベンダー側のサーバーに保管するのが一般的です。
ただ、場合によっては業務の都合で自社のデバイスにデータをダウンロードしたり、複製するようなこともあるかもしれません。この場合、同じデータが複数箇所に存在することになるため、漏洩のリスクが増大することになります。
もちろん、ベンダー側のサーバーは強固なセキュリティで守られているため、そう簡単に漏洩するわけではありません。どちらかというと、自社側の情報管理体制の問題にシフトします。
クラウドコンピューティングは大変便利なものですが、情報やデータの管理者が自社ではなくクラウド側になるのが一般的です。その分クラウドベンダーは細心の注意を払ってデータや情報を保護してくれることが期待できますが、彼らはユーザーの同意なく情報にアクセスできるのも事実です。
当然ながら、守秘義務で保護したり無闇矢鱈にデータに触れることはできないようにしている可能性は高いです。しかし、人が管理する以上ヒューマンエラーをゼロにすることはできません。
「自社の管理が及ばない範囲のミスで損失が発生してしまった」ということになる可能性も(低いながら)存在します。
クラウドのリスクとして「対策がユーザー個人に依存する」点も挙げられます。クラウドのシステムにアクセスするのは「会社全体」ではなく「そこで働いている個人」であることが多いため、各個人がセキュリティ対策を行うことも求められるでしょう。
裏を返せば「会社単位でのセキュリティ方針は問題なかったが、個人のミスで情報が漏洩した」という事態も考えられます。責任の所在がどうなるのかはさておき、社会からは「企業のミス」として見られてしまいます。
情報漏洩経路が多角的になりがちなことも、クラウドのリスクとして挙げられるでしょう。クラウドは大変便利な形態ですが、その利便性の高さゆえに「どこからでもどのような端末からでも接続可能」であるのが一般的です。
セキュリティを強化したい場合は経路や端末を制限することも考えられますが、利便性は低下してしまいます。かといって「どこからでもどのような端末からでも接続可能」にすればするほど脆弱性が生まれます。
そのあたりのバランスを上手く調整する必要があるでしょう。
クラウドベースのシステムはベンダー側で運用されているため、システムにトラブルが起きた際は利用不可になってしまいます。その点はオンプレミスでも同様なのですが、問題は「復旧がベンダー側の都合に依存する」点ではないでしょうか。
オンプレミスの場合は全てを自社内で管理しているため、自社の都合で復旧作業を行えます。結果が完全に理想通りとなるわけではありませんが、ある程度のコントロールと見通しは立てられます。
クラウドの場合、復旧作業を行うのはベンダー側になるため、彼らの都合でスケジュールや体制が組まれます。もちろんサービス提供者として全力で作業に当たってくれることが期待できますが、業務全体の見通しが立てづらくなるようなリスクも考えられます。
それでは次に、クラウドセキュリティのレベルが低いことによる具体的なリスクケースをいくつかご紹介します。
ある決済サービス会社では、同社が保管しているユーザーアカウントの一部識別情報が外部から閲覧可能な状態になってしまっていました。原因は同社が業務を委託していたグループ企業において、従業員が無断でオンラインのバージョン管理サービスにアップロードしていたことに起因します。
公開されていた情報には11件程度のアクセスが確認されており、機密情報が外部に漏れてしまった事例となりました。
あるベンチャー企業では、利便性やコストの面からクラウドサービス(レンタルサーバー)の利用を開始しました。当初は問題なく業務効率化が図れていましたが、ある日ベンダー側で障害が発生し、クラウドサーバーに接続できなくなってしまいました。
その後レンタルサーバーにアクセスしたところ、保管されていた重要なデータが全て消失しており、復旧も不可である旨が通知されることに。オフラインにバックアップを取っていなかったため、同社の重要データは全て消失してしまう事態になりました。
ある米国の金融サービス会社は全業務をクラウドで稼働し、業務効率化を図っていました。しかし、同社が独自運用していたWAF(Web Application Firewall)に対する設定にミスがあり、そこから一億を超える個人情報の漏洩が発生しました。
現代においてクラウドはなくてはならないものですが、正しく設定しないと情報漏洩のリスクが高まってしまいます。
クラウドのセキュリティリスクをいくつかご紹介しましたが、ではどのようにすればセキュリティを保護できるのでしょうか。続いて、クラウドセキュリティの高め方について解説します。
一つ目は、サービスやデバイスに対して適切な設定を行うことです。使用しているソフトやデバイスにはさまざまな設定項目が設けられており、正しく設定されてない場合は思わぬ脆弱性が生じる可能性があります。
分かりやすい例で言うと「情報の公開範囲」などが挙げられるでしょう。こちらは主にソフト(サービス)側の設定項目になりますが、クラウドで保管している機密情報を誤って「公開」にしてしまうと、部外者でも情報を閲覧することができてしまいます。
対策としてはもちろん「設定を逐一確認する」などがありますが、いっそのこと「全世界公開できないサービスを選ぶ」のも手です。機能そのものがなければ事故は起きないからです。
サービスにアクセスするデバイスを保護することで、クラウドセキュリティ強化に繋がります。デバイスを保護するためには、下記のような点がポイントです。
最新版のアプリやOSを利用することで、メーカー側で確認された脆弱性を潰すことができます。また、通信を暗号化することで、サーバーとやり取りする情報を保護できるでしょう。
加えて、ウイルスソフトやセキュリティ対策ソフトを導入すれば、広範囲におけるセキュリティを確保できます。
信頼できる通信を利用することで、情報やデータの機密性を高められます。インターネットから業務用クラウドサービスにアクセスする際は、データを暗号化して送受信するのが鉄則です。
しかし、一部フリーWifiなどでは暗号化が行われず内容が盗み見られてしまう恐れがあります。そのような通信を利用するとセキュリティに脆弱性が生じてしまうため、必ず信頼できる通信を利用するようにしましょう。
アクセスを適切に管理することで、クラウドセキュリティの強化に繋がります。システムにアクセス可能な端末を拡大すればするほど業務の利便性は向上しますが、セキュリティリスクも増大します。
業務用クラウドであれば、原則的に登録されている端末以外からのアクセスはブロックした方が好ましいでしょう。また、登録端末であってもどのような経路からアクセスされサーバーとどのような通信を行ったか、などのログを取っておくことも大事です。
アクティビティが細かく記録されていれば、万一の事態に備えることができるからです。
業務においてクラウドはなくてはならない存在ですが、扱いを間違えるとセキュリティリスクが生じます。クラウドセキュリティを正しく理解し、情報やデータの保護に努めましょう。
ビズウインドでは、上記のような様々な課題でお困りのお客様に対して、
無料相談を実施致しております。
社内DX化のコンサルティングや営業支援システム、MAツールなどの
多くの導入実績から、プロの視点で様々な解決策をご提案させて頂きますので、
お気軽にご相談下さい。
