企業におけるクラウドサービスの利用はもはや一般化したと言えるでしょう。クラウドサービスを利用するにあたり、情報漏洩や不正アクセスなどのセキュリティ被害を避けるためには、どのような点に注意すればよいのでしょうか。この記事では、企業においてクラウドサービスを利用する際に気を付けるべきセキュリティ対策について解説します。
クラウドサービス特有のセキュリティリスクとは
クラウドサービスの特徴と従来型のアプリケーションとの違い
そもそも、従来型のPCにインストールして利用するシステムとクラウドサービスではどのような違いがあるのでしょうか。
セキュリティに関連する両者の特徴を下表にてまとめています。従来型アプリケーションとクラウドサービスでは、利用方法や通信経路などに違いがあることがわかります。
| 項目 | 従来型アプリケーション | クラウドサービス |
| 利用方法 | PCにインストールして利用する | 任意の場所・環境からアクセスできる |
| 通信 | PC内および保護された通信経路で利用することが一般的 | インターネット等の共用回線を経由して利用する |
| 処理・データの把握 | PCおよび自社のサーバで処理が完結するため、処理内容やデータを自社で把握可能 | システム処理がブラックボックスとなっており、どのような内部処理がされているか不明 |
クラウドサービスのセキュリティリスク
それでは、これらのクラウドサービスの特徴を踏まえるとどのようなセキュリティリスクが想定されるのでしょうか。ここでは、主なリスクを3点取り上げます。
情報漏洩リスク
もっとも懸念されるのは情報漏洩リスクです。情報漏洩の経路としては、通信の盗聴やセキュリティ保護されていない端末の紛失や盗難などが考えられます。クラウドサービスは任意の場所・環境からインターネット回線を利用して利用するという特性上、従来型のアプリケーションと比較して情報漏洩リスクが高いといえます。
クラウド提供事業者によるデータの不正利用リスク
また、クラウドサービス内の処理はブラックボックス化されており、どのようにデータが管理されているか利用者側で把握することができません。当然、契約上データの不正利用は行えないようになってはいますが、それでも信頼性に欠けるクラウド提供事業者によるデータの不正利用リスクは残ります。
野良システムの増加リスク
いわゆる「野良システム」とは、システム管理者が把握できておらず従業員が勝手に利用しているシステムを意味します。野良システムには、適切なセキュリティ対策が行えない、インシデント発生時に対応が遅れるなどの問題があります。PCへインストールせず気軽に利用できてしまうクラウドサービスは、野良システム化するリスクが高いといえます。
クラウドサービス選定におけるチェックポイント
それでは、これらのリスクを踏まえたうえでどのようにクラウドサービスを利用していけばよいのでしょうか。まずはクラウドサービスの選定におけるチェックポイントを解説します。
クラウド提供事業者の信頼性
クラウドサービスの選定において最も大切なのはクラウド提供事業者の信頼性です。社内のデータを預けるに足る事業者であるか信頼性を確認することをおすすめします。
信頼性を図る際の一つの手法として、クラウドに関する認証を受けているかで判断する方法があります。例えば、クラウドサービスに関する国際規格であるISO/IEC 27017を取得している事業者であれば、信頼できる可能性は高まります。
また、クラウドサービスはPCアプリケーションと比較して事業終了リスクが高いため、導入実績や企業の財務健全性を把握することで事業継続性をチェックすることが大切です。
通信の安全性確保
インターネットを介するクラウドサービスの利用においては、通信が暗号化されており盗聴のリスクがないかを確認することが大切です。
確認のポイントとしては、クラウドサービスへの通信にHTTPSと呼ばれる暗号化通信が利用されているかをチェックするとよいでしょう。万一クラウドサービスが暗号化通信を実施していない場合、セキュリティ意識が低い事業者であると考えられます。
適切なアクセス制御の実施
クラウドサービスの任意の環境・場所からアクセスできるという特徴は、利便性が高い一方で情報漏洩のリスクにつながります。情報漏洩の予防策として、クラウドサービスが強度の高い認証を提供しているかを確認しましょう。
基本的な認証手法であるパスワード認証であれば、桁数や文字種などが適切であるかを確認します。内閣サイバーセキュリティセンター(NISC)作成した「インターネットの安全・安心ハンドブック」では、強固なパスワードの要件として「10文字以上・英大小文字+数字+記号の組み合わせ」を指定しています。クラウドサービスが設定しているパスワード条件と比較してクラウドサービスのセキュリティ対策状況を確認することをおすすめします。
また、企業でクラウドサービスを利用するにあたっては、スマートフォンを用いた2要素認証など、より強度の高い認証方式を利用することをおすすめします。クラウドサービス側がどのような認証方式を提供しているかを確認するとよいでしょう。
クラウドサービスの安全利用のために実施すべきこと
次に、企業でクラウドサービスを利用するにあたって実施すべきことについて解説します。
社内のルール整備
クラウドサービスの利用にあたっては、利用ルールの制定が欠かせません。特に、クラウドサービスの利用申請・許可ルールを明確化しておかないと、従業員が勝手にクラウドを利用してしまい、セキュリティインシデント発生の原因となります。クラウドサービスの利用にあたっては、システム部門などへ申請を行うようにルールを定めるべきです。
また、クラウドサービスの利用時にネットカフェや自宅のPCなどからは利用しないようにルールを整備するとよいでしょう。
社内でのセキュリティ教育の実施
セキュリティ事故の多くはセキュリティ意識の欠如などの人為的なミスによるものです。一般社団法人日本プライバシー認証機構(JPAC)が2018年に行った調査では、個人情報漏洩事故のうち、誤操作や紛失などの人為的なミスによるもの78.5%という結果があります。さらに、これ以外の原因の中にも、脆弱なパスワード設定による不正アクセスなどが含まれており、情報漏洩の大部分はセキュリティ意識の低さに原因があるといえます。
セキュリティ対策のためには、社内で定期的にセキュリティ教育を実施し、リテラシーの底上げを行うことが重要です。
【まとめ】
この記事では、クラウドサービスの導入のために必要なセキュリティ対策について解説を行いました。クラウドサービスの導入にあたっては、従来型のアプリケーションとは異なった視点でのセキュリティ対策が必要です。一方で、過度なセキュリティ対策は利便性の低下にもつながります。取り扱う情報に応じて、適切なセキュリティ対策を行うことが最大のポイントといえるでしょう。
