最近はクラウドサービスの提供が増えており、そのメリットの多さから導入している企業も増えています。一方で新しいサービスが誕生すれば、それに対するサイバー攻撃が生まれるのも自然なことです。クラウドサービスのメリットばかりに目を奪われていては、思わぬトラブルに巻き込まれる事態にもなりかねません。

今回はクラウドサービスを利用するに当たってのセキュリティ対策についてご紹介します。これからクラウドの導入を考えている方は参考にしてください。

セキュリティ対策を行う際には、さまざまな情報漏えいのリスクや可能性を知っておく必要があります。以下の記事で詳しくご紹介していますので、ぜひご覧ください。

情報セキュリティについて詳しく知りたい方はこちら

情報漏えいの発生パターンと対策について詳しく知りたい方はこちら

情報を盗み出すソーシャルエンジニアリングについて詳しく知りたい方はこちら

クラウドサービスの種類

まずはクラウドサービスにはどのような種類があるのかご紹介します。

SaaS(サース)

SaaSとは「Software as a Service」の略で、直訳するとサービスとしてのソフトウェアを意味します。従来のソフトウェアのようにユーザー側でインストールするではなく、ユーザーはベンダーが稼働させたソフトウェアを、ネットワークを介して利用します。

これまでのソフトウェアはパッケージ商品として売られていましたが、インターネットを介して売られるようになったのが「SaaS」です。有名なサービスを挙げると「Gmail」やブログサービス、「Salesforce」などが該当します。利用しやすい反面、自由度が低いというデメリットもあります。

PaaS(パース)

PaaSとは「Platform as a Service」の略で、アプリケーションソフトを稼働させるために必要な「データベースやブログラム実行環境をクラウドで提供するサービス」のことを指します。PaaSを導入すればインフラからの開発は必要なく、プログラムのみを用意すればサービスを開発できるようになりまが、データベースの設定やプログラミングの実行環境に制限があるため、開発の自由度は下がります。

具体的に有名なサービスを挙げると、「Google Apps Engine」や「Microsoft Azure」などがPaaSに該当します。

IaaS(イアース、アイアース)

IaaSとは「Infrastructure as a Service」の略で、直訳するとサービスとしてのインフラを意味します。インターネット上にインフラ環境を構築することで、仮想サーバーやハードディスクなどの情報システムの稼働に必要な要素が提供されます。SaaSやPaaSに比べて開発の自由度が高く、デバイスのスペックからOSまで自由自在です。

ただし、それだけOSやハードウェアの知識も求められ、セキュリティに関しても自分で対策しなければなりません。有名なサービスとしては「Google Compute Engine」や「Amazon Elastic Compute Cloud」が該当します。

クラウドサービスのセキュリティ上のメリット・デメリット

クラウドサービスを使うのであれば、従来のサービスを使うのとはセキュリティの考え方が異なります。どちらが安全かという話ではなく、サービスの仕組みが異なるためセキュリティのあり方も変わってくるのです。セキュリティサービスにどのようなメリット・デメリットがあるのか見ていきましょう。

クラウドサービスのセキュリティ上のメリット

クラウドサービスは従来のサービスとは異なり、端末にデータを残しておく必要がありません。そのため仮に端末を紛失しても、データの漏えいの心配がありません。もし端末を盗難されたとして、遠隔でデータを消去しても大事なデータをクラウドで保管しておけば被害を抑えられます。

これまでは自社で端末のセキュリティ対策を行わなければいけませんでした。しかし、クラウドサービスはクラウドの事業者が最新のデータ管理を行ってくれるため、自社で行うよりも高いセキュリティレベルでデータを守ってくれます。

クラウドサービスのセキュリティ上のデメリット

クラウドサービスのデメリットは、オンラインでサービスを利用する必要があるため、通信回線上でデータを読み取られるリスクがあることです。例えば外でクラウドサービスに接続する際にフリーWi-Fiなどに接続すると、そのWi-Fi経由でサイバー攻撃を受ける可能性もあります。またクラウド事業者は大量のデータを保有しているため、攻撃者からすれば格好の的です。

クラウド事業者も徹底してセキュリティを管理していますが、もしサイバー攻撃を受けてしまえば自社のデータが流出してしまう可能性もあります。

クラウドサービス以外にも、ファイル共有ソフトやメールソフト、無線LANの使用時にはセキュリティ対策を十分に行う必要があります、以下の記事で詳しくご紹介していますので、ぜひ参考にしてみてください。

ファイル共有ソフトの危険性と対策について知りたい方はこちら

メールを使用する際の情報セキュリティ対策について知りたい方はこちら

企業組織内で使われる無線LAN使用で起こりうる情報セキュリティ問題と、その対策について知りたい方はこちら

クラウドサービスを導入する前の事前準備

作業効率などを考えると、これからの時代はクラウドサービスの導入は避けては通れません。しかし、闇雲にクラウドサービスを導入してはさまざまなリスクが発生してしまいます。そのためクラウドサービスを導入する前には、次のようなことを整理して考えましょう。

情報資産

企業の中にはコンピュータやサーバー、情報システムなどさまざまな情報資産があります。これらの情報資産を正確に把握してはじてめて、それぞれを「なにから」「どの程度守るのか」を決めることができます。まずは社内にどんな情報資産がどれだけあるのか調査して把握しておきましょう。

脅威の調査

情報資産の把握をしたら、「なにから」守るのかも明確にしておきましょう。クラウドサービスを導入したからといって、完全に情報が守られるというわけではありません。前述の通り、Wi-Fiを通じて攻撃を受けるケースもあります。クラウドサービスを導入することで、どのような脅威があるのかシミュレーションしてみましょう。闇雲にセキュリティ対策のソフトを導入するのではなく、想定した脅威を不足なくカバーできるようにしましょう。

重要性の分類

それぞれの情報資産を「どの程度守るか」を決めるために、クラウドに管理する情報の重要性を分類しておきましょう。すべての情報の重要性は同じではないため、クラウド上での管理レベルにも差はでます。どの情報が重要で、厳重な管理が必要なのかを予め手分類しておきましょう。

クラウドサービスのセキュリティ管理で重要な5つのこと

実際にクラウドサービスを導入する際に、おさえるべきポイントを5つ紹介します。クラウドサービスの導入でやることが多く困惑している方は、まずは次の5つから始めてみてください。

通信データを暗号化させる

クラウドサービスはオンラインを介して利用するサービスという特性上、通信中に誰かに覗き見られる可能性があります。それを防ぐのが暗号化です。暗号化された通信は第三者が覗き見ることができないため、安心してデータ通信が行えます。SSL通信はもちろんのころ、WPA2など高度な暗号化もとりいれてください。

ユーザー認証とアクセス制御

PCなどのデバイス、クラウドサービスの使用にパスワードを設定するのはセキュリティ対策の初歩ですが、最近ではパスワードの推測ツールも登場しているため、パスワードを設定しただけでは安心できません。1回毎に更新されるワンタイムパスワードを利用し、厳格なアクセス制御を設けて不正アクセスのリスクを抑えましょう。

パスワード設定以外にも、PCなどのデバイスで行うべき情報セキュリティ対策があります。こちらの記事で詳しくご紹介していますので、ぜひ参考にしてみてください。

企業で使用されるノートPC、スマホ、タブレットの情報セキュリティについて知りたい方はこちら

アプリケーションやOSの構築を安全にする

アプリケーションやOSにセキュリティホールがあると、そこからマルウェアが感染しサイバー攻撃を受けやすくなってしまいます。環境を構築するときからセキュリティには気を配り、更新プログラムを定期的に適用させていくことで安全な状況を維持できます。

マルウェアの脅威や対策について知りたい方はこちら

企業組織内でのサーバーのセキュリティ対策について知りたい方はこちら

データの保管場所を把握する

大規模なクラウド事業者ともなると、世界中にデータセンターがあります。海外のデータセンターにデータを保管されていると法制度の違いからトラブルに発展するケースもあるため、できるだけ国内に保管されている事業者を選ぶといいでしょう。自社のデータがどこに保管されているかは明確にしておきましょう。

まとめ

技術の進歩により、これからの時代はクラウドサービスがスタンダードになっていきます。クラウドサービスのメリットはさまざまな場面で謳われていますが、それと共にリスクについても理解しておかないと思わぬ被害に遭いかねません。クラウドサービスはセキュリティも考慮しながら使用しましょう。