クラウドサービスを利用する際のセキュリティ対策とは

クラウドサービスとは、利用者側が最低限のインターネット環境を用意すればインターネットを通じてアプリケーションやストレージなどの様々なサービスの提供が受けられるサービスのことです。今日多くの企業で社内情報の管理や従業員、顧客の情報管理などにクラウドサービスを利用する事が一般的になりました。

「クラウド」というのは「クラウドコンピューティング」の略称であり、ファイルやデータの管理をPCやスマートフォンなどの端末ではなく、インターネット上に保管できる仕組みを指します。特定の端末に依存しないことから、ある程度のインターネット環境があれば、アクセスし、同一のファイルを参照することができるのが特徴です。

 

クラウドサービスの安全性

一見便利なクラウドサービスですが、実はセキュリティ面でも非常にメリットが多い事が知られています。自社保有の社内サーバでは、定期メンテナンスや脆弱性に対するアップデートを社内の担当者が行うことになります。一方で、クラウドサービスを利用する場合、サービスベンダーによってアップデートが自動で行われ、情報セキュリティに関する専門的な知見がない場合でも安心して利用ができるということです。さらに、物理的なサーバもないため、停電によるトラブルや自然災害によるデータ破損のリスクがほぼ無い点もメリットと言えます。

一方で、クラウドサービスにはセキュリティリスクも伴います。インターネットを介した情報漏洩の恐れや他社とフレームを共有することによる情報漏洩の恐れ、外部にデータを預けることによる流出の恐れなど、利用する側としては多くの不安点が存在します。

実際にクラウドシステム利用時に起きたセキュリティ事故を紹介します。

2012年6月20日 ヤフー子会社のファーストサーバが運営するオンラインストレージ上でデータ消失が発生し、5698件のデータが消失、ほぼ復旧不可能に

2011年6月19日 4時間ほど任意のパスワードで他人のデータを閲覧できる状態になっていたとDropboxから発表

2009年3月9日 Googleのオンライン上のドキュメント作成・利用サービスである「Google Docs」で非公開のドキュメントが他人に共有されてしまうというアクシデントが発生

こうしてみると、大手のクラウドサービスだからと言って必ずしも安全というわけでは無い事が良くわかります。

考えられるセキュリティ対策

上で述べたような事故を防ぐには、クラウドサービスを提供する側とそれを利用する側の双方でセキュリティ対策が必要になってきます。

利用する側のセキュリティ対策としては、次のような事が挙げられます。

・ バックアップは複数のクラウドで行う
一つのクラウドサービスのみを利用していた場合、サービスやインターネット上に障害が発生すると、サービスを利用できなくなってしまいます。そこで、複数のクラウドにバックアップを行うことで対策を取る必要があります。また、クラウド上に保管するものと物理環境に保管するものを見極めることも重要な要素です。

・「野良無線LAN」に注意する
通信経路が暗号化されていない場合も多々あります。外出先からの無線LANを用いてクラウド利用した場合、とりわけ空港やホテル、カフェなどの無料かつログイン不要で利用できる無線LANサービスの場合、情報漏洩などにつながる可能性が高くなります。このような無線LANサービスは「野良無線LAN」と呼ばれ、別の利用者に通信を盗聴される危険性があります。無料でも利用しない事が得策と言えるでしょう。

・ ログインIDはしっかり管理する
他のサービスと同じID・パスワードを使い回すことは危険です。また、定期的にパスワードを変えることも必要です。IDとパスワードの組み合わせだけでなく、二段階認証や、他の要素をログイン認証に加える「他要素認証」を提供しているクラウドサービスであればより安全でしょう。

・ ウイルス対策ソフトを導入する
言うまでもなく、セキュリティ上の対策としてソフトの導入は必須です。クラウドサービスのセキュリティに関してだけでなく、このことはマルウェア対策にもつながります。必ず行うようにしましょう。

・ 第三者機関による評価を確認する
利用しようとしているクラウドサービスが安全かどうか見極める上で、「CSAジャパン」や「JASA-クラウドセキュリティ推進協議会」の調査・研究は役に立ちます。「JASA-クラウドセキュリティ推進協議会」では「クラウド情報セキュリティ監査」を実施しており、事業者が行うべき情報セキュリティマネジメントの基本的な要件を定め、事業者が遵守しているか確認し、安全性が確保されていることを利用者に明確にします。監査を終えた事業者には、Webサイトなどに貼り付ける「言明書ロゴ(サービスロゴ)」が提供されます。

こういったことをしっかりと意識した上で、クラウドサービスを利用するかどうか決定しましょう。また、クラウドサービス事業者が行うべき情報セキュリティ対策には次のようなことがあると、総務省は挙げています。

・データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
・データのバックアップ
・ハードウェア機器の障害対策
・仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
・不正アクセスの防止
・アクセスログの管理
・通信の暗号化の有無

参考:クラウドサービスを利用する際の情報セキュリティ対策

多くの企業が情報漏洩に頭を悩ませるとともに、便利なクラウドサービスの利用はもはや欠かせなくなってきています。事業者と利用者、双方のセキュリティ対策がより重要になってきているのは間違いないでしょう。