クラウドサービス導入にあたり、セキュリティ面の不安解消は重要なポイントです。特に会社や組織にとって、クラウドの脆弱性は死活問題になりかねません。そこで今回は、クラウドサービスがどのような安全対策を実行しているのかを解説します。
そもそもクラウドサービスとはどんなものを指すのか
クラウドサービスとは、従来企業が自身で構築、運用していたコンピューティングリースやソフトウェアをネットワーク上で提供するものの総称です。なかでもソフトウェアをクラウドサービスとして提供しているSaaSでは、そのサービスの多くがブラウザ上で利用できます。グループウェアのMicrosoft 365やG Suite、営業支援システム(SFA)のSalesforce.comなどがその代表例です。
たとえば「Gmail」や「Yahoo!メール」などのWebメールも、クラウドサービスの一例と言えます。インターネット上でアカウントさえ登録すれば、誰でも使用することができ、専用ソフトのインストールや、メールサーバの確保などは不要です。
もちろん、Webメールが機能している以上、メールサーバやソフトウェアは存在します。しかしそれらが実際どこにあるのかを、私たちユーザーは知らないままでも、問題なくWebメールサービスを受け続けることができます。
このように、ユーザーにサービスの大元となるコンピューター(サーバー)の所在地を意識させずに、コンピューティングリソースをネットワーク経由で利用可能にするサービスを、クラウドサービスと呼び、先ほどご紹介したSaaS以外にもOSやミドルウェアレベルまでネットワーク経由で提供するPaaSや、サーバーリソースを提供するIaaSなどもあります。
クラウドサービスのセキュリティについて
クラウドサービスではサーバーやソフトウェアの実物を確認できないため、セキュリティ面に不安を感じるユーザーも少なくありません。そこでまずは、クラウドの信頼できる要素と不安な要素の両面から、実際のセキュリティレベルを検証します。
クラウドサービス提供事業者が取るべきセキュリティ対策
信頼できるクラウドサービスの前提として、まず情報漏洩への主な対策を順にご紹介します。基本となるのは、「アカウントやクラウドサービスの利用状況を記録しつつ、不審なアクセスがあった場合はアクセス制御するといった不正アクセス対策の徹底です。
サービスの利用状況がログとして記録されていれば、万が一外部からの不正アクセスやDDoSなどの攻撃を受けてもその攻撃を検出、遮断することができます。また、もし不正を行った社員がいても、しっかりとその行動が、アカウント名と共に記録されているため、悪意のユーザーによる損害を抑止することもできます。
暗号化とマルウェア対策
クラウド上のファイルへは、暗号化してから通信し、それを閲覧する各端末上でのみ暗号化を解除することが求められます。
また、クラウドサービスでもユーザーによるアドオン開発が可能なものではサンドボックスと呼ばれる隔離領域も提供されます。これによりマルウェア(悪意のあるプログラムやファイル)のような疑わしいファイルを見つけても、シグネチャでひっかけることができなかった場合でも「サンドボックス(砂場)」と呼ばれる隔離領域内でこの隔離領域の外へは影響が及ばないようにそのファイルを開くことができます。
クラウドサービス導入の際は、上記の様な対策を提供ベンダーがとっている、または該当する機能をサービスとして持っているのかよく確認することが、信頼性の高い提供企業を選択する指標となります。
一方でセキュリティに不安があると言える理由
昨今クラウドサービス提供事業者の過失でデータが漏洩するケースは減ってきていますが、クラウドサービス特有のユーザーによる設定ミスも存在します。
例えば、クラウドサービスの様々な利用権限を、自社内で管理する場合も細心の注意が必要です。その管理に不備があると、許可されていないファイルや機能にアクセスされる恐れや、部外者からの不正ログインの恐れも生じます。
昨今では、情報資産を守るために、各社がセキュリティポリシーを明文化して策定することが推奨されています。しかしながら、この会社側のセキュリティポリシーをクラウドサービス上で統一的に設定することが困難な場合もあります。
クラウドサービスを比較するときにチェックしておきたい点
では、先述したような安全性と不安定性に鑑みて、安心して使えるクラウドサービスを選ぶにはどうしたらよいのでしょう。ここからは、クラウド導入に際してチェックすべきポイントを解説していきます。
クラウドのセキュリティガイドライン
クラウドサービスを比較するときの指標やチェックリストとして活用できるのが、経済産業省が2013年に公開した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」です。
・「参考」
このガイドラインは、クラウドサービスを利用する組織において、セキュリティ対策を円滑に行うための指針として作成されています。具体的には、JIS Q 27002:2006(情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範)に基づいており、クラウド利用者の視点から作成されているため、クラウドサービスを比較検討する基準となってくれます。
クラウドのサービスの提供形態
次に、会社に導入すべきクラウドサービスの種類を確認しましょう。この種類によって求められるセキュリティも変わるからです。クラウドサービスは主に次の3種類に分けられます。
SaaS(Software as a Service)
ソフトウェアをパッケージで購入することなく、インターネット経由で利用できるサービスです。PCにインストールする必要もなく、ブラウザから手軽にサービスとして利用できます。
PaaS(Platform as a Service)
システム開発用アプリケーション・データベース管理システム・プログラミング言語など、システム開発に必要なソフトウェアや開発基盤を提供するサービスです。
IaaS(Infrastructure as a Service)
サーバやストレージ、ネットワークなどのハードウェアやインフラを提供するサービスです。
これら3つのどれを導入するかで、サービスの実態や、クラウド上でやり取りされ、保管されるデータの種類が異なるため、求められるセキュリティは変化します。さらに、各データの重要度を把握し直し、必要なセキュリティレベルや施策方法を絞り込んでいくことが大切です。
ログ管理やActive Directory連携などの機能の有無
そして、「どんな機能に、誰がいつアクセスしたのか、どんなフォルダが作成され、どんなファイルが送信されたのか」というログを、きちんと管理できるサービスを選びましょう。たとえ外部にファイルが持ち出されたとしても、誰がどのファイルをいつ持ち出したのか、ログから特定できます。
また利用中のクラウドサービスに加え、新しいクラウドサービスを導入すると、各種IDやパスワードが増えるため、管理が複雑化してしまいます。こうした場合は、既存のActive Directoryとの連携により、IDの二重管理などを防止できます。
クラウドサービスのセキュリティへの対策
どんなにチェックリストを整えても、やはりクラウド運用に際しては、セキュリティ対策に不安が残るものです。そこで、サービス提供企業に任せるだけでなく、自社でも積極的にセキュリティ対策に取り組むための道筋を確認しましょう。
サイバー攻撃にはどんな手法があるのかを知っておく
まずは、サイバー攻撃の手法を頭に入れておくことが重要です。サイバー攻撃にはマルウェアや暗号解読、SQLインジェクションなどが存在し、これらの種類について知っておくことが対策への一歩となります。
攻撃の代表例:SQLインジェクション
顧客情報などのデータを盗む代表的な手法のひとつに「SQLインジェクション」があります。例えば、ある企業のサイトでユーザー登録などを行う際、様々な個人情報やパスワードをフォームに打ち込みます。
これらの情報は、相互に関連しながら、企業の「データベース」(DB)に格納され、企業側がこのDBから顧客情報を引き出すときには、SQLという言語を使用します。
ところが、企業外の人間でも、フォームにSQLコマンドを含む文字列を打ち込むことにより、ユーザー登録画面などを通じてDBを操作することが可能になります。これにより不正にDB内のデータを改竄、窃盗する行為がSQLインジェクションです。
その他の代表的な攻撃
「総当たり攻撃(ブルートフォースアタック)」という、手当たり次第に文字列を入力して、暗号解読を試みる手法もあります。これにより管理者IDとパスワードが破られた場合、データの漏洩や改竄の危険性が生じます。
また、「パスワードリスト攻撃」という手法もあります。いくつかのクラウドサービスでは、過去にパスワード漏洩事件を起こしています。これら漏洩したパスワード情報を用いて攻撃は、攻撃成功率が高いことが特徴です。利用するクラウドサービスが増えれば増えるだけ、パスワードが漏洩するリスク、そして攻撃されるリスクが高まっていると言えるでしょう。
その他、最近の攻撃方法は、経済産業省の外郭団体である「情報処理推進機構(IPA)」の「情報セキュリティ10大脅威 2020」でチェックしましょう。
製品の導入を検討するときに認証基盤やアクセスコントロールがあるかどうかを確認する
様々なクラウドサービスに関するセキュリティ上の不安解消の第一歩として、まず認証の強化に注目しましょう。クラウドサービスへのログイン時に、IDとパスワード以外にIPアドレスを認証に利用することで意図しない環境からの不正アクセスを防いだり、ワンタイムパスワードを用いるなど、認証の強化には様々な手段があります。
次に、アクセスコントロールもポイントです。IDごとに別のアクセス権限を割振り、誰がいつどこにアクセス可能かを細かく管理します
こうした対策を行うとID管理が複雑化しますが、HENNGE OneのようなIDaaSを利用すれば、こういった管理上の課題も解決します。
まとめ
オンプレミス型のサービスは運用コストがかかるため、業種を問わず様々な企業がセキュリティ対策を具体的に検討した上で積極的にクラウドサービスの活用へ乗り出しています。しかし、だからこそ焦らずにリスクとメリットを整理し、不安を順番に解消することで、自社に合ったクラウドサービスを活用していきましょう。
