企業のクラウド利用が進んでいます。クラウドを適切に活用することによって、サーバー管理の効率化やコスト削減の効果が見込めるためです。
その一方で、クラウドのセキュリティを脅かすような被害や事故があとを絶ちません。関連するニュースにふれ不安を感じ、そのメリットを理解しつつクラウド移行に躊躇している企業も少なくないでしょう。
この記事では、クラウドのセキュリティリスクについての詳細と、対策する際に把握しておくべき5つのチェックポイントを紹介します。自社でクラウドのセキュリティ対策を行う際の参考にしてください。
目次
クラウドのセキュリティリスクとは
企業でも近年クラウドサービスが広く利用されるようになっています。その一方で、顧客情報や社内の重要データをクラウド上に保存する際には、様々なセキュリティリスクが付きまとうのも事実です。この項ではクラウドサービスを利用する上で、どんなセキュリティリスクが存在するか主な種類を紹介します。
データへのアクセス不可・データ消失
運用ミスや攻撃などでサーバーがダウンして、クラウドに保存したデータへアクセスできなくなることがあります。それが業務に必要なデータであれば、社内業務が停止してしまうかもしれません。
悪意のある第三者によるサーバー攻撃や、クラウド事業者側の障害や運営ミスによって重要データが消失するリスクもあります。仮にバックアップをとっていなければ、消失したデータを元に戻すことはできません。消失したデータの重要度や量によっては、その被害は計り知れないほど大きくなるでしょう。
不正アクセス・不正ログイン
悪意ある第三者の攻撃によって、社内ユーザーのID・パスワードが外部に漏れてしまうことがあります。仮にID・パスワードが攻撃者の手にわたった場合、社内システムへ不正にアクセス・ログインされる可能性があるのです。システムやソフトウェアの脆弱性が標的とされ、社内システムへ不正なアクセスが行われた事例も報告されています。
不正アクセスを受けてしまった際に生じる被害も小さくありません。システムの停止や破壊によってサービス・業務が停止したり、サイバー攻撃の踏み台にされたりすることもあります。
不正アクセスで取得された社内アカウント情報を悪用したなりすましにより、取引先にまで被害が及んでしまう可能性も否定できません。結果、企業としての信用を失うことになります。
情報漏えい・データ改ざん
仮に通信を盗聴された場合、重要なデータが外部へ漏えいする可能性があります。その他、社内ユーザーの人為的なミスによって、顧客情報や機密情報がもれてしまう例も少なくありません。
またウェブサーバーに不正ログインされ、運用するウェブページのデータが改ざんされるといった被害も多いです。ウェブページが改ざんされると修復に時間がかかるだけでなく、企業イメージが落ちるなどの被害も想定されます。
クラウドセキュリティの5つのチェックポイント
クラウドを利用する際に気を付けるべきセキュリティリスクをみてきました。それでは、これらリスクに関してはどのような点に気を付けるべきでしょうか。ここでは、クラウドのセキュリティを考える上で、重要な5つのチェックポイントを紹介します。
通信データの暗号化
クラウドへアクセスするためには、一般的にインターネット回線を利用することになります。そのためクラウドに対し通信データを仮に暗号化せず送受信すれば、通信経路上で盗聴や改ざんの被害にあう可能性があるのです。外部に公開してよいデータでなければ、SSLによって通信データを暗号化しなければなりません。
たとえインターネットを介さないプライベートクラウドだとしても、SSLによる暗号化が推奨されます。これにより社内でのデータ盗聴・改ざんのリスクも回避できるためです。
また外出先でのフリーWi-Fi利用は推奨されません。セキュリティ対策が不十分なフリーWi-Fiも少なくはなく、悪意のある第三者によって通信内容を盗聴される恐れがあります。社内でWi-Fiを利用する際も、WPA2などの高度なセキュリティを設定することが望ましいです。
セキュアなアプリケーションやOSの構築・実装
近年、SQLインジェクションやセッションハイジャックなど、アプリケーションやOSの脆弱性を狙った攻撃による被害が頻発しています。クラウドやネットワーク等のセキュリティがどんなに強固でも、アプリケーションに脆弱性があれば攻撃を避けることはできません。
これら攻撃のリスクを回避するためにはプログラムのレビューや、定期的な脆弱性診断等の対策が重要です。攻撃を検知できるシステムの導入も推奨されます。
情報資産の重要度の分類
企業では、「ヒト・モノ・金」に関わる膨大な情報資産を保有していることでしょう。これら情報資産の管理に、クラウドが使われることも多いです。
クラウドから情報資産が漏えいする大きな原因として、「管理体制の不十分さ」があげられます。情報資産は、適切に管理することが必要です。
そのためにはまず、情報資産の重要度を正しく分類することが求められます。たとえば顧客情報や機密情報は、公式ウェブサイトで公開している情報などに比べ、厳重な管理が必要となることは言うまでもありません。
社内の情報資産を正しく管理するためには情報資産の重要度を分類し、その重要度にみあったかたちでアクセス権限を設定することが必要です。その上で、「誰が」「何を」「どこまで管理するか」を決めていきましょう。これは情報セキュリティをマネジメントするにあたり、最も重要なポイントです。
データ保管場所の明確化と暗号化やバックアップの対策
米国など海外のデータセンターを利用する場合、その国の政府機関による検閲が入る可能性がある点は注意しなくてはなりません。データセンターに設置されたサーバーごと押収された事例もあります。
検閲や押収によって業務が停止するなどの被害が発生するのを防ぐため、データ暗号化や秘密分散などによる対策が必要です。万が一サーバーが押収された際のリスクを回避するため、定期的なバックアップも推奨されます。バックアップは、クラウドサービスの停止やデータ損失が発生した際の備えとしても有効です。
アクセス権限の分離・IDの管理
企業ではメールやファイル共有をはじめとして、様々なシステム・サービスを利用して業務を行っています。各システム・サービスに対して全ての社員が、同じ権限でアクセスする必要はありません。仮に必要性もないのに全員が同じ権限をもっていれば、その分セキュリティのリスクを高めることになります。
それぞれの利用状況を把握し、誰にどの権限が必要か詳細に整理しましょう。各システム・サービスに対してアクセス可能な範囲を限定することにより、セキュリティリスクを回避しやすくなるのです。
オンプレミスからクラウドに移行する際に気をつけること
オンプレミスからクラウドへ移行する際は、サーバーやネットワーク・データベースなど、たくさんのものが変更されます。移行後も正常に利用できるようにするために、移行の手順を慎重かつ詳細にまとめておくことが必要です。
移行作業の手違いなどにより、情報漏えいやセキュリティ的な問題が発生する可能性もあります。移行中・移行後すぐにでもこれらの問題に対応できる体制を整えておくことも必要です。
まとめ
クラウドを利用する場合、不正アクセスやデータ消失、情報漏えいなどさまざまなセキュリティリスクが存在するのは否めません。これらのリスクによる損害を避けるためには、ポイントをおさえて対策をしましょう。
まずクラウドへアクセスするためのインターネット回線は、盗聴を防止するためSSLによる暗号化が必要です。脆弱性を狙った攻撃を回避するには、プログラムのレビューや定期的な脆弱診断も求められます。
海外のデータセンターを使う際は、その国の政府機関による検閲やサーバー押収のリスクも考慮しなくてはなりません。これらリスクの対策として、データ暗号化・バックアップを行うことが必要です。
またクラウドからの情報漏えいを予防するためには、まず自社で保有する情報資産の重要度を分類し、その重要度にあった管理をします。その他、クラウドのセキュリティリスクを軽減するためには、IDやアクセス権限を適切に管理しなくてはなりません。
クラウドをセキュアに利用するためには、これらポイントを改めて確認することが推奨されます。
KAGOYA FLEX
カゴヤ・ジャパンは、自社国内データセンターを基盤に、月額4,400円の低価格からクラウド導入を強力サポート。
VMware ベースの仮想サーバーと物理サーバーの組み合わせで最適なコストバランスをご提案いたします。
回線引き込みや、ライセンスの持ち込みなど柔軟な対応も可能です。
