クラウドコンピューティングの普及に伴い、企業がクラウド環境のセキュリティリスクに直面するケースが増えています。クラウドの利便性を最大限に活かしつつ、データ漏洩やサイバー攻撃などのリスクから重要なデータやシステムを守るには、どのような対策が必要になるのでしょうか。
1. クラウドセキュリティとは?
クラウド環境におけるセキュリティとは、クラウドサービスを利用する上で発生するリスクから、データや業務の機密性、可用性、完全性を守ることを指します。
クラウドの恩恵を最大限に活かすためには、そのリスクを理解し、適切な対策を講じることが重要です。
1-1. クラウドの基本
クラウドコンピューティングとは、インターネットを通じてデータセンターなどに集約されたコンピューティングリソース(ストレージ、CPU、メモリ、ネットワーク、アプリケーションなど)を、必要に応じてサービスとして利用できる仕組みのことです。
従来は企業が自社ですべてのリソースを所有・管理していましたが、クラウドではクラウド事業者がリソースを管理しています。ユーザー企業は使用する分だけの利用料を支払い、インターネット経由でそのリソースを利用します。
ユーザー企業にとっては、必要な分のリソースを柔軟に調達でき、過剰な投資を避けられるため、ITコストを削減することができます。また、ビジネスに合わせて、素早くコンピューティングリソースを拡張・縮小できるというメリットもあります。
さらに、クラウド事業者がセキュリティ対策やシステム運用・保守を担当するため、ユーザー企業は運用負荷を大幅に軽減することができます。
1-2.クラウドとオンプレミスの違い
クラウドと対比的に使用する言葉として、オンプレミスという用語があります。
クラウドコンピューティングとオンプレミスのシステムとの大きな違いは、コンピューティングリソースの所有権と管理責任の所在です。
オンプレミスでは企業がハードウェア、ソフトウェア、ネットワークなどのITインフラ全てを自社で所有し、管理・運用する責任を負います。自社に特化した仕組みであり、すべて自社内で管理するため、セキュリティやコンプライアンス要件が厳しい場合に適しています。
一方、クラウドではクラウド事業者がリソースを所有し管理するため、企業はリソースの利用料金のみを支払えばよく、ITインフラの管理運用コストを大幅に削減できるのがメリットとなります。
ただし、クラウドではデータや業務システムをクラウド事業者に預けることになるため、セキュリティ管理上の責任範囲が分散します。従ってクラウド利用時には、クラウド事業者とユーザー企業の双方でセキュリティ対策を適切に行う必要があります。
1-3.クラウドセキュリティの考え方
クラウドコンピューティングでは、企業のデータやシステムをクラウド事業者の管理下に置くことになるため、セキュリティ管理の責任が事業者とユーザー企業の双方に分かれます。
一般にクラウド事業者は、クラウドインフラ自体のセキュリティ(ハードウェア、ネットワーク、OS など)を担い、ユーザー企業はデータ、アプリケーション、アカウントなどのセキュリティ対策を行う必要があります。つまり、クラウド環境におけるセキュリティは、クラウド事業者とユーザー企業が連携して実現する必要があるのです。
クラウドセキュリティとは、このようなクラウド特有の環境において、企業データやシステムの機密性(データの秘匿性)、可用性(業務の継続性)、完全性(データの改ざん防止)を確保するための取り組みを指します。
具体的には、以下の3つの側面から対策を講じる必要があります。
1. 機密性確保:データ漏洩やプライバシー侵害を防ぐためのアクセス制御、暗号化などの対策
2. 可用性確保:サイバー攻撃や自然災害に対するサービス可用性維持の対策
3. 完全性確保:不正な改ざんからデータの整合性を守るバックアップや認証などの対策
クラウドセキュリティを実現するには、技術的な対策に加え、従業員のセキュリティ意識向上や、契約/SLAなどの制度面での取り組みも重要となります。
クラウド活用のメリットを最大限に享受するためには、クラウド特有のセキュリティリスクを正しく理解し、適切な役割分担のもとで対策を講じることが不可欠です。
2.クラウド環境におけるリスク
クラウドサービスを利用するうえでは、さまざまなセキュリティ上のリスクが存在します。
ここでは、データ漏洩、サイバー攻撃、アクセス制御の問題、コンプライアンス違反などのリスクについて、確認しておきましょう。
2-1. データ漏洩の可能性
クラウド環境ではユーザー企業のデータがクラウド上に置かれるため、クラウド事業者の内部不正や過失によるデータ漏洩のリスクが考えられます。
機密データが第三者に渡れば、企業に大きな損害が生じる可能性があります。その結果、LINEユーザーのサービス利用履歴などを含め約30万件の個人情報が漏えいしました。
また、仮想化技術を用いたマルチテナント環境では、セキュリティ上の脆弱性が生じるリスクもあり、細心の注意が必要です。
2-2.サイバー攻撃の脅威
クラウドはインターネットに接続された環境であるため、標的型攻撃やマルウェア、DDoS攻撃などのさまざまなサイバー攻撃の脅威にさらされます。
攻撃者に悪用された場合、データの窃取や改ざん、サービスの停止などの深刻な被害が生じる可能性があります。
十分なセキュリティ対策が講じられていないと、高い可用性が期待できるはずのクラウドサービスでさえ、サイバー攻撃を受けることで業務に深刻な影響が出る恐れがあります。
2-3.アクセス制御
クラウドサービスへのアクセス権の適切な管理も重要です。
日本を拠点とするクラウド事業者だけとは限らないため、各国や地域ごとの法規制・ガイドラインなどへの準拠が求められます。クラウド事業者の対応状況を十分に把握したうえで、適切な要件を満たしているかを確認しておく必要があるでしょう。
なお、要件を満たさない場合は、企業側で追加対策を講じなければなりません。
3. クラウドセキュリティ対策のアプローチ
クラウド環境におけるリスクに適切に対処するためには、技術的な対策と人的対策の両面からのアプローチが必須となります。
データの暗号化やアクセス制御の強化、従業員教育など、様々な対策を組み合わせて多層的なセキュリティ対策を講じる必要があります。
3-1. データや通信の暗号化
クラウド上に保存されるデータや、クラウドとの間の通信データを守るには暗号化が重要な対策となります。
強力な暗号化ツールを使いデータを適切に暗号化することで、万が一データが漏洩しても、内容を読み取られる心配がなくなります。データの機密性と完全性を守るには、暗号化が不可欠といえるでしょう。
また、通信経路の暗号化にはSSLやVPN接続等の技術を利用します。とくに、クラウドサービスとの通信では必ず、セキュアな通信経路を確保する必要があります。
さらに、データをクラウドへアップロードする前に事前に暗号化しておくことで、クラウド側でのデータ暗号化に加えてエンドツーエンドの保護を実現できます。
3-2. 強力なパスワードと多要素認証
クラウドサービスへのアクセスに際しては、強力なパスワード認証に加え、多要素認証を組み合わせることで、より確実な本人認証を実現する必要があります。
パスワードは十分な長さと複雑さを持つ強固なものにし、管理の徹底も重要です。多要素認証では、パスワードに加えてワンタイムパスワードや生体認証、認証アプリなど、異なるタイプの認証要素を併用します。
これにより、ひとつの認証要素が漏洩しても不正アクセスを防げるため、セキュリティが大幅に向上します。
3-3. 従業員教育とセキュリティ意識向上
セキュリティ強化には、単に技術的な対策を施すだけでなく、従業員一人ひとりのセキュリティ意識向上が大切です。
従業員への定期的な教育を実施し、パスワード管理の重要性、標的型攻撃への対処、機密データの取り扱いなどの意識を高める必要があります。人的ミスや過失に起因する事故を防ぐためにも、セキュリティポリシーやガイドラインの周知も徹底しましょう。
さらに、インシデント発生時の報告体制の整備、関係部門との連携体制の構築なども重要な対策となります。
このように、クラウドセキュリティ対策には、技術面と人的面の両面から検討する必要があります。リスクに応じた適切な対策を組み合わせることで、クラウドのメリットを最大限に享受できるセキュアな環境を実現できます。
まとめ
クラウドコンピューティングは企業にとってコスト削減などのメリットがある一方で、セキュリティリスクにも留意する必要があります。
クラウド上のデータ漏洩、サイバー攻撃、アクセス権限の管理、コンプライアンスなどのリスクに対し、データ暗号化、アクセス管理強化、従業員教育など、適切なセキュリティ対策を講じることが不可欠です。
クラウドを活用する際は、セキュリティリスクへの理解とリスクに応じた対策を十分に検討する必要があります。