クラウドサービスがIT市場で台頭したことにより、企業のシステム環境に大きな変化が起きています。システムは保有から利用へと変わり、データを社内で管理することがなくなりクラウド提供事業者のデータセンター内にて管理されています。「クラウドサービスは提供事業者が代わりにセキュリティ対策を実施しているから安心」と考える方も多いでしょう。
確かに、クラウドサービスを利用することで独自にセキュリティ対策を実施するよりもサイバー攻撃への対策を強化できるケースは多々あります。だからと言って、ユーザー企業側でセキュリティ対策は全く不要かといえばそれ違います。
そこで本記事では、ユーザー企業がクラウドサービスを利用する上で考慮すべきセキュリティ対策についてご紹介します。
クラウドサービス、セキュリティ面でのメリットとデメリット
ご存知の通り、クラウドサービスというのはソフトウェアを購入してサーバー等にインストールする従来のパッケージ製品とは異なり、提供事業者が構築したシステムをインターネット経由で利用するサービスです。その特性上、ユーザー企業独自にシステムを保守運用することはなく、それがメリットとして広く認識されています。
「保守運用を行わない」ということは、当然ながらシステムそのものやネットワークに対するセキュリティ対策も実施しないことを意味します。ただし、クラウド提供事業者が独自のセキュリティ対策を講じていることから安心して利用するユーザー企業が多いでしょう。では、クラウド提供事業者任せのセキュリティ対策にはどのようなメリットとデメリットがあるのでしょうか?
<メリット>
クラウドサービス利用時のメリットは、やはり常に提供事業者によって最新のセキュリティ対策が保たれていることです。例えばMicrosoftでは年間10億ドルをセキュリティ分野に投資しており、データセンターにおいて物理的な対策を含め常にセキュリティを最新状態で維持しています。そうしたサービスを利用するだけで自社のセキュリティ対策が強化されるので、同等レベルを独自で対策する場合と比較すると、大幅にコストを抑制することができます。
さらに、クラウドサービスを利用することで生成されたデータは、全て提供事業者が管理するデータセンターに保存されるため、万が一端末を紛失したとしてもデータを容易に復旧することができます。
<デメリット>
デメリットとしては、まずクラウドサービスではインターネットの利用が前提となることです。クラウド提供事業者も通信中にデータが傍受されないように暗号化通信などを施しますが、サイバー攻撃は日増しに高度になってきていますので、通信経路の脆弱性などを攻撃されることでデータが漏れてしまう可能性はゼロではありません。
もう1つのデメリットとしては、クラウド事業者側の操作ミスなどによってデータが流出・消失してしまうリスクがあることです。過去には管理者の設定ミスによって、クラウドサービスに保存しているデータの全て公開状態になった例などもあります。
このように、メリットもあればデメリットもあるのがクラウドサービスです。検討の際は、機能面ばかりでなく、セキュリティ面も十分に考慮に入れる必要があります。では、これらの事実を前にしてユーザー企業にできることとは何でしょうか?
ユーザー企業が検討すべきクラウドサービスセキュリティ
まず大切なのは「データの保管場所」を把握することです。クラウドサービスを利用するにあたり、「国内データセンターに保管されている」と当たり前のように考える方も多いようですが、実際は違います。中には海外データセンターにおいてシステムを運用しているクラウドサービスもあるので注意が必要です。
では、海外データセンターの何が問題なのか?それは「海外の法規制が適用され、日本法規制が及ばない可能性が高い」ことです。クラウドサービスではどの国の企業が利用しているかではなく、データセンターがどこに置かれているかが重要です。そのため、知らずのうちに海外の法規制下にデータが置かれている可能性が高く、セキュリティリスクを増大する原因になっています。
日本企業が提供するクラウドサービスだからと言っても、100%安心することはできません。電気料金の値上げやサーバーの運用コストが増加と言った理由で、海外(特に東南アジア)にデータセンターを新設するケースも多くなっています。このため、利用するデータセンターの設置場所をきちんと把握しておくことをお勧めします。
次に検討すべきセキュリティ対策は「多要素認証」です。クラウドサービスへアクセスする場合、多くはIDとパスワードによって本人認証を行います。しかしこれだけではサイバー攻撃によっては簡単に突破される可能性があります。不正アクセスによる被害はまちまちですが、最悪の場合は高額な損害賠償の責任を追うこともあります。そのためある程度の利便性を確保しながらも、セキュリティ強度を高めておく必要があります。IDとパスワードにおけるセキュリティ対策はユーザー企業自身が実施する他、強化する方法はありません。
多要素認証というのは、IDとパスワードを使った認証方法に加え、ワンタイムパスワードやデバイス証明書等の異なる認証方法を用いることでセキュリティ対策を強化する方法です。クラウドサービス自体に多要素認証機能が備わっていない場合も、サードパーティ製のサービスを使用することで多要素認証を利用できることもあります。
ユーザー企業が検討すべきクラウドサービスセキュリティとして、アクセスコントロールと同等に大切なのが「データのバックアップ」です。クラウドサービスは提供実業者がバックアップデータを取得しているから、データが消失してしまっても大丈夫と考えている方も多いでしょう。実際は、正しく復元できることが重要で、単純にバックアップ機能の有無だけでなく、サービスレベルに合わせた復旧が可能かどうかを正しく判断する必要があります。
クラウド提供事業者がバックアップを実行しているとしても、障害等によってバックアップデータごと消失してしまう可能性もゼロではありません。クラウドサービスに蓄積しているデータはユーザー企業独自にバックアップポリシーを設定し、リカバリ運用ができる体制を構築しておくことが大切です。
まとめ
最後に、ユーザー企業が最も気軽に実施できるセキュリティ対策とは「正しい提供事業者選び」です。一口にクラウドサービスといっても提供する事業者は様々ですし、それぞれのセキュリティ対策の内容やレベルが違います。このため、クラウドサービスを比較検討する際に各提供事業者のセキュリティ対策を十分に比較した上で、最適なものを選択してください。
また、様々なセキュリティ製品を効果的に組み合わせることで、自社のニーズにマッチした環境を構築することができます。
日常業務で使用する頻度が高いツールほど、より安全に利用できるようセキュリティ面の考慮を正しく行うことで、クラウドサービスを効果的に採用することが可能となります。
