クラウドサービスのセキュリティの課題と選ぶ際のポイント
クラウドサービスの利用が広がり、すでに利用している企業も多いですが、まだ踏み切れていないところでは、セキュリティ面がネックになっているところもあるでしょう。
実際のところクラウドサービスのセキュリティは安心なのでしょうか? 本コラムでは、クラウドサービスにおけるセキュリティ上の課題と、セキュアなクラウドサービスを選ぶポイントをご紹介いたします。
クラウドサービスにおけるセキュリティの課題
クラウドサービスには、オンプレミス環境とは異なり、特有のセキュリティ課題があります。
・セキュリティ対策がベンダーに依存してしまう
IaaS、PaaS、SaaSのどれを利用するかにもよりますが、クラウドサービスを利用する際は、利便性を手に入れる分、管理をクラウドのベンダーに任せることになるため、セキュリティ対策もベンダーに依存する部分が出てきます。
自社で管理する部分については、自社のセキュリティポリシーに則って対策を行い、ベンダーに任せる部分についても、導入前後に適切に対策が取られているかどうかをチェックする必要があります。
・設定による情報漏えい
SaaSの場合は、データ以外をベンダーの管理に任せることになりますが、PaaSやIaaSでは、ユーザー側で管理する部分が増えます。さまざまな設定を自社の希望に合わせて変更する中で、思わぬ設定ミスをしてしまうこともあります。
たとえば、初期設定では閉じていたポートを開いてしまい、そこから不正アクセスされたり、初期設定では非公開設定だったものが閲覧・編集可能の設定に変えてしまって情報漏えいや改ざんにつながったりする恐れがあります。
・統一したセキュリティポリシーを適用しにくい
複数のクラウドサービスを利用している場合、ベンダーごとにセキュリティレベルが異なるため、自社のセキュリティポリシーに合致しているかどうかをサービスごとに一つずつ確認しなければならず、手間がかかります。
また、手間をかけて一度は確認できても、その後サービスごとにセキュリティ対策内容が変更される可能性があり、常に統一したセキュリティポリシーを適用するのが困難です。
・許可されていない私用端末からの利用
クラウドサービスは、アカウント情報さえあればアクセスする端末を問わないため、会社側が用意したセキュリティ対策の取られた端末以外の、従業員が個人利用している端末からもアクセスできてしまいます。
会社のチェックの目が行き届かないところで、情報が適切に扱われずに情報漏えいにつながったり、クラウドサービスを私的に利用されたりする恐れがあります。
・シャドーITが生じるリスク
いくらセキュリティポリシーやルールを策定して運用していても、従業員が業務での利便性向上を求めて、会社で許可していないクラウドサービスを勝手に利用してしまうケースがあります。会社側で把握できていないこうしたITサービスが業務に使われることを「シャドーIT」といいます。
シャドーITのすべてが低セキュリティというわけではありませんが、なかには自社のセキュリティポリシーを満たさない、情報漏えいリスクの高いサービスもあるかもしれませんし、さらにそれを許可されていない私用端末から利用して業務を行ってしまえば、リスクはさらに高まります。
クラウドサービスを選ぶ際のセキュリティ面のポイント
このようなリスクが実際に現実のものとなり被害を受けないためにも、クラウドを選定する際は、セキュリティ面をしっかりチェックしたいものです。
最後に、クラウドサービスを選ぶ際のセキュリティ面のポイントをご紹介いたします。
・ベンダーそのものに対する信頼性
まずは、クラウドサービスを提供しているベンダー企業に対する法人としての信頼性をチェックしましょう。
たとえば、その企業の成り立ち(セキュリティ技術を持ったスタートアップ企業なのか、ハードウェアメーカーの子会社なのか、など)や、過去にコンプライアンス違反が起きていないか、コンプライアンス認証の取得にどのくらい積極的か、セキュリティ対策への研究にどのくらい支出しているかなど、ベンダー企業が公表している情報から、ベンダーそのものの信頼性を裏付ける事実をピックアップして比較しましょう。
・クラウドサービスで取られているセキュリティ対策
提供されているクラウドサービスにおいて、どのようなセキュリティ対策が取られているかをチェックしましょう。
たとえば、通信がSSLサーバー証明書やSSHによって暗号化されていたり、ワンタイムパスワードなどの多要素認証の機能が搭載されていたりすることが重要です。
併せて、セキュリティポリシーの内容や改訂頻度なども確認したいところです。
・データセンターのセキュリティ対策
クラウドサービスを利用する場合、自社の大切なデータをクラウドベンダーのデータセンターへ預けることになります。ベンダーが公表しているデータセンターの場所や、そこで施されているセキュリティ対策の内容を確認しておきしましょう。
たとえば、データセンターへの入出がカードキーや指紋・静脈認証などのバイオメトリックセンサーで制限・管理されており、遠隔で防犯カメラによる24時間監視が行われている、24時間常駐の警備員がいて緊急時には対応している、サーバー運用の監視システムを導入しているなど。
また、人為的な情報漏えいに対するものではありませんが、データの保存という点では、万が一の地震や火災などに備え、ラックやケージの耐震性の高さや火災の検知・消化システムの導入なども確認しておくと良いでしょう。
データセンターの所在地については、海外の場合、国によっては政府の要請でデータの検閲が行われる可能性もあります。機密情報については、オンプレミス型のプライベートクラウドを利用して保管するなどの配慮も必要でしょう。
まとめ
クラウドサービスは業務効率化のための便利なシステムです。
セキュリティ対策をしっかりととってリスクを回避し、クラウドサービスをビジネスに有効活用しましょう。
この記事の著者
お問い合わせ
依頼内容に迷っているときは、課題の整理からお手伝いします。
まずはお悩みをご相談ください。
-
システム運用監視・保守サービスReSM(リズム)ご紹介資料
クラウドの導入から24時間365日のシステム運用監視まで、ITシステムのインフラをトータルでサポートするReSM(リズム)サービスについて詳しく説明します。
-
4つのポイントで学ぶ「失敗しないベンダー選び」
運用アウトソーシングを成功させる第一歩は、サービスベンダーの選択です。この資料ではサービスベンダーを選択するポイントを4つ紹介します。