クラウドサービスを活用したいものの、安全性が不安でなかなか導入に踏み切れない方もいるのではないでしょうか。結論から言えば、近年のクラウドサービスは認証技術の進化や通信の暗号化などによって、基本的にどれも安全に利用できる状態になっています。
ただし、クラウドサービスの脆弱性を突くサイバー攻撃は今も起こっており、セキュリティ上のリスクが一切ないとは言い切れません。クラウドサービスを利用する際は、より安全性の高いサービス・ベンダーを見極めるのに加えて、自社のセキュリティ対策も万全に整えておくことが大切です。
そこで今回は、クラウドの安全性が疑問視される理由や、より安全なクラウドサービスを選ぶポイントについて解説します。また、自社で整備すべきセキュリティ対策も紹介しますので、ぜひ参考にしてみてください。
目次
クラウドの安全性は大丈夫?
結局のところ、クラウドの安全性に問題はないのでしょうか。
本章では、クラウドの安全性が疑問視されやすい理由や、安全性にまつわる実情について解説します。
なぜクラウドの安全性は疑問視されやすいのか
クラウドサービスが安全性に疑問を持たれやすい理由は、大きく2つあります。
1つは、ネットワークを経由してサービスを利用することです。例えば、オンラインストレージで文書データを共有したり、Webメールや社内SNSでコミュニケーションを図ったりといった利用シーンが挙げられます。このように基本的にどのクラウドサービスもインターネットを介すため、「悪意ある第三者に情報を盗まれないだろうか」「ネットを通じてマルウェアに感染するのではないか」といった不安なイメージを持たれているのです。
もう1つの理由は、データが自社ではなくベンダー(サービス事業者)側のサーバーに保存されることです。サーバーを自社で構えるオンプレミスと違い、クラウドはサーバーのセキュリティ対策をベンダー側に依存することになります。自社の手の届かない範囲でデータが保管されるため、不安な印象につながっているのが実態です。
※関連記事:オンプレミスとは?クラウドとの違い・メリット・デメリットや使うべきシーンを解説
クラウドサービスの安全性は大丈夫?
結論から言えば、現在ではどのクラウドサービス事業者も高度なセキュリティ機能を実装し、一定水準のセキュリティレベルを満たした安全性の高いサービスを提供できるようになりました。平成26年には総務省もガイドライン(※)を定め、クラウドサービス事業者に対して安全性の一定要件を満たすよう要請しています。そのため、現在は「クラウドはオンプレミスより安全性が低い」という考え方は必ずしも正しいと言えなくなりました。
ただし、オンプレミスもクラウドも人間の過失や脆弱性の問題は起こりえるため、“100%安全”とは言い切れません。安全性のリスクを念頭に置き、万全の対策を施したうえでクラウドサービスを活用することが大切です。
※参考:クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)|総務省(PDF)
クラウドサービスで想定される安全性のリスク
クラウドサービスを利用するうえでは、万が一のセキュリティリスクを事前に想定しておくことが肝心です。
本章では、クラウドサービスで想定される安全性のリスクや影響について解説します。
データの消失
クラウドサービスで起こりうるリスクの一つが、サーバーのデータ消失です。原因としては、アクセスを集中させてサーバーに負荷を与える「DDoS(ディードス)攻撃」や、ユーザー側の誤操作、サーバーの障害などがあります。事業に関するデータが消失すると復旧に時間がかかり、事業活動が止まってしまう危険もあるでしょう。
第三者によるサービスの不正利用
第三者による不正利用も、リスクの一つとして起こりえます。例えば、マルウェアによってID・パスワードが流出したり、「総当たり攻撃」と呼ばれるサイバー攻撃で暗証番号を解読されたりして、不正にアクセスされるパターンです。最悪の場合には企業のノウハウや調査データが持ち出され、悪用される事例も起こっています。
外部への情報漏えい
サーバーに保管中の機密情報や顧客・社員の個人情報が流出してしまうリスクも、ゼロではありません。原因としては、OSやミドルウェアの脆弱性を突く「ゼロデイ攻撃」、権限のないユーザーによる不正アクセスなどがあります。情報漏えいが起こると、コンプライアンスの観点で企業の信頼やブランドイメージを損ねかねません。
安全性の高いクラウドサービスを見極めるポイント
クラウドサービスを利用するうえで重要なのは、より安全性の高いサービス・ベンダーを見極めることです。
そこで本章では、安全性の高いクラウドサービスを見極めるポイントについて解説します。
第三者から安全性の評価を受けているか
信頼できる第三者から安全性の評価を受けていれば、セキュリティレベルが高いことの証明になります。例えば、クラウドサービスに関するガイドライン規格である「ISO/IEC 27017」(一般財団法人 日本品質保証機構)、個人情報の取り扱いが適切であることを証明する「プライバシーマーク」(一般財団法人 日本情報経済社会推進協会)などが代表的です。客観的に安全性が保証されているサービスであれば、より安心して利用できるでしょう。
個人認証・アクセス制限が厳重か
個人認証やアクセス制限の仕組みが厳重かどうかも、重要な観点です。例えば、アクセス時に2つ以上のコードが必要となる「2段階認証」、特定IPアドレスからのアクセスを防ぐ「IPアドレス制限設定」、データへのアクセス権限を柔軟に管理できる「アクセスコントロール」、第三者からのデータの盗み見を防ぐ「データの暗号化」などがあります。このように悪意あるユーザーからの不正アクセスを防ぐ仕組みがあれば、安全に利用できます。
脆弱性・ウイルス攻撃への対策があるか
クラウドサービスの脆弱性を完全にゼロにするのは、構造上難しいのが現状です。そのため、脆弱性を突かれないための対策がベンダー側にあれば、より安全にサービスを利用できます。例えば、サイバー攻撃を検知・ブロックするシステム「WAF」、外部の専門機関に安全性を調べてもらう取り組み「脆弱性診断」などは重要です。また、不正プログラムを検知・ブロックできるような「ウイルス対策」もあると、より安全性が高まるでしょう。
サーバーは厳重に管理されているか
サーバーは一般的に、ベンダー側の契約したデータセンターに保管されています。信頼性の高いデータセンターにサーバーが保管されていれば、万が一の災害時にも物理的にサーバーを安全に守ることが可能です。サーバーの堅牢性が高ければ、不正アクセスやサイバー攻撃などによるデータ消失も防ぎやすくなるでしょう。また、24時間365日のサーバー監視体制があると、緊急時に迅速に対応してもらえるのでさらに安心して利用できます。
自社で整えるべきセキュリティ対策
セキュリティリスクをできる限り抑えるには、セキュリティ対策をベンダーに委ねるのではなく、自社でも万全に対策を整えることが不可欠です。本章では、自社で整備すべき必須のセキュリティ対策について解説します。
IDやパスワードを厳重に管理する
クラウドサービスの個人IDやパスワードは、外部に漏れないよう厳重に管理することが大切です。例えば、退職者のアカウントは速やかに削除したり、アカウント一つにつきユーザーは一人までに制限したり、といった対策が挙げられます。認証情報を適切に管理しておけば、第三者による不正アクセスを防ぎやすくなるでしょう。
定期的にデータのバックアップをとる
万が一のサーバートラブルやサービスの停止などに備えて、定期的にデータのバックアップをとっておくことも重要です。データのバックアップがあれば、サービスが止まっても速やかに業務を再開できるようになります。火事や地震などの災害時にも事業を復旧しやすくなるため、BCP対策(事業継続計画)としても有効でしょう。
まとめ
近年は技術の進歩に伴って、ほとんどのクラウドサービスは安全に利用できるようになりました。ただし、万が一に備えて社内のITリテラシーを高め、セキュリティ対策を万全にしておくことが大切です。また、情報漏えいや不正アクセスを未然に防ぐには、より安全性の高いクラウドサービスを選ぶ必要があります。厳重な認証システムやアクセス制限機能が搭載されていて、サーバー管理が適切なクラウドサービスを選ぶようにしましょう。
「NotePM」は、高水準のセキュリティレベルを誇る社内Wikiツールです。2段階認証や通信・データの暗号化、特定IPアドレスのブロック機能、ウイルス対策やWAFの導入をはじめ、セキュリティ対策が整っており、安心して利用いただけるのが特徴です。さらにサーバーに関しては Amazon Web Services(国内:東京リージョン)のデータセンターを利用し、 24時間365日体制で厳重に監視しています。
安全性の高い情報共有クラウドサービスをお探しの際には、ぜひNotePMをご活用ください。
NotePM(ノートピーエム) は、Webで簡単にマニュアル作成できて、強力な検索機能でほしい情報をすぐに見つけられるサービスです。さまざまな業界業種に導入されている人気サービスで、大手IT製品レビューサイトでは、とくに『使いやすいさ・導入しやすさ』を高く評価されています。
NotePMの特徴
- マニュアル作成、バージョン管理、社外メンバー共有
- 強力な検索機能。PDFやExcelの中身も全文検索
- 社内FAQ・質問箱・社内ポータルとしても活用できる
- 銀行、大学も導入している高度なセキュリティ。安全に情報共有できる
URL: https://notepm.jp/