「クラウドサービスを安全に利用するにはどうすれば良い?」
「利用するサービスによってセキュリティ対策は違うの?」
ソフトウェアのインストールや物理的な機器を用意せずとも、インターネットを介してさまざまなサービスを利用・構築できるクラウドサービスには、多くのメリットがあります。しかし、課題も指摘されているため、安全に利用するにはクラウドに特化したセキュリティ対策が欠かせません。
そこで本記事では、以下の内容について解説します。
- クラウドセキュリティとは
- クラウドサービスの種類と責任範囲の違い
- セキュリティに強いクラウドサービスの見分け方
本記事を読むことで、クラウドを安全に使用するためのポイントが分かります。クラウドサービスを利用している方や、クラウドでシステム構築を行っている方は、ぜひご一読ください。
クラウドセキュリティを強化したいと考えている企業の方、必見!
クラウドサービスを安全に利用するにはどうすれば良い?
利用者側で管理すべき情報の管理と各種サービスの定期的なアップデートが大切です。一方で、クラウドセキュリティは一側面でしかありません。脅威を総合的に捉え、必要なセキュリティ対策を検討するための資料もご用意しておりますので、ぜひこちらもご覧ください。
クラウドセキュリティとは
クラウドセキュリティとは、クラウドを使ったサービス全体に対する情報セキュリティ対策のことです。
従来のオンプレミス環境では社内と社外が明確に分かれていたため、その境界にセキュリティ対策を施すことが重要視されていました。また、境界があることでセキュリティ対策の形がある程度決まっていることから、比較的簡単にセキュリティ対策を実施することが可能でした。
今でも、境界があることを利点として、金融業界などオンプレミスで運用している企業もあります。
クラウド環境ではインターネット上、つまり社外に自社データを保存し、インフラを構築する形に変わりました。オンプレミスと同様の発想でセキュリティ対策を行ってしまうと対応違いになってしまうため、クラウドに特化したセキュリティ対策が必要となります。
クラウドとオンプレミスのセキュリティ対策の違い
クラウドに特化したセキュリティ対策を検討するには、クラウドとオンプレミスのセキュリティの違いを知る必要があります。ここでは、クラウドとオンプレミスのセキュリティについて比較します。
基盤設定の大きな違いとして「物理的なITインフラの有無」が言えるでしょう。
例えば、サーバーを拡張したいとき、オンプレミスの場合はサーバーの増設やそれに伴う設定変更などを自社で対応する必要があります。基盤機器の設定はさまざまな場所に影響を与えるため、設定変更を行うにはハイレベルな技術や経験を必要とします。そのため、設定変更による障害の発生率も高く、セキュリティリスクは高いと言えるでしょう。
一方、クラウドサービスであれば、利用者はプランを変更するだけでサーバーの拡張が可能です。つまり、基盤設定においてはクラウドの方がリスクは低いと言えるでしょう。
障害・災害対応に関しては、対策範囲によって評価が変わる部分が大きく比較しきれない面はありますが、オンプレミスの方がカスタマイズ性が高いです。そのため、オンプレミスの方が企業独自のセキュリティ要件を満たすシステム環境の構築がしやすく、セキュリティの強化が容易と言えるでしょう。
万一障害が発生した場合でも、オンプレミスであれば障害の発生場所が自社環境のみであるため特定しやすいというメリットもあります。
しかし、それは現時点における話であり、クラウドサービスのセキュリティ性能は以前よりも向上しています。AWSやAzureなどの大手サービスを利用していれば、標準サービスのみでセキュリティ要件を満たせることも多いです。
但しクラウドサービスに実際に障害が発生した際は、自社だけではなく様々な要因が絡んでいるため、復旧はサービス事業者の連絡を待つしかない状態が続くことがあります。そのため、クラウドサービスの方が、障害発生時のセキュリティリスクが高いと言えるでしょう。
災害時に関しては、オンプレミスは物理的な機器が置いてあるため、その地域が自然災害の影響を受けてしまう可能性があります。クラウドサービスも、提供されているリージョンで災害が起これば影響を受ける可能性がありますので、それぞれ同様にセキュリティリスクがあると言えるでしょう。
バックアップ用サーバーを別の地域に置く、別のクラウドサービスも利用するなどの対処方法もあります。両者をうまく活用してセキュリティ対策を行いましょう。
クラウドサービスの種類と責任範囲の違い
クラウドサービスは大きく以下の3種類に分かれます。
SaaS(Software as a Service)
インターネット経由でソフトウェアを提供するサービスです。ブラウザ上で利用できるGmailなどが代表的なSaaSで、インターネット環境さえあれば、インストールなどの必要はありません。
PaaS(Platform as a Service)
インターネット経由でアプリケーション開発のプラットフォームを構築できるサービスです。AWSやGCPなどが代表例で、インフラとミドルウェアまでを提供しているサービス形態です。
IaaS(Infrastructure as a Service)
インターネット経由でネットワークからサーバーといったインフラ環境を提供するサービスです。PaaSよりも拡張性が高いものの、その分利用者に高度なスキルが求められます。
利用するクラウドサービスの種類によって責任範囲が異なります。
利用者側で管理すべき範囲と、提供者側で管理すべき範囲に違いがあるため、その範囲を把握しておく必要があります。
図が示す通り、クラウドサービスごとに「利用者」と「サービス提供者」の責任範囲が異なります。利用者と提供者の責任範囲を分けるポイントを「責任分界点」と言います。また、利用者と提供者のどちらがどこまで責任を持つか示すことを「責任共有モデル」と言います。
クラウドサービスを導入する際は、責任共有モデルによる対象の絞り込みを行い、双方の責任箇所をしっかりと確認しておきましょう。事前に把握していなければ、事故が発生した際に予期しない費用損失や社会的信頼低下を被りかねません。
クラウドのセキュリティリスク
ここで改めて、クラウド全般におけるセキュリティリスクを確認しておきましょう。
1. 不正アクセス
クラウドのセキュリティリスクの中で圧倒的に多いのが、ユーザーID・パスワードなどのアカウント情報の流出による第三者の不正アクセスです。
情報漏えいに発展してしまう可能性があるので、確実に対策を行う必要があります。
2. 情報漏えい
クラウドサービスでは、データの保存場所に気を付けましょう。外部に公開しているクラウドサーバーに重要なデータを不意に保管してしまい、長期間公開されてしまう事例が後を絶ちません。サーバーの閲覧権限をデフォルトで制限付きに設定しておく、定期的にサーバーのステータスを確認するなどの対策を行いましょう。
3. データの消失
障害の発生やサービス提供者の運用不備などが原因で、クラウドに置いていたデータが消えてしまったり、サービス自体が使えなくなってしまうリスクもあります。
万が一を想定し、データのバックアップを取得しておきましょう。また、サービスが使えなくなった時のために、代替の手段やサービスを用意しておくことも重要です。
4. 人材のリテラシーの違い
利用者のリテラシーの違いによって、情報漏えいなどが発生する恐れがあります。クラウドサービスに慣れていない利用者がいる一方で、クラウドの存在が当たり前の利用者もいるため、両者に対する使い方の周知やセキュリティ教育が求められます。
また、クラウドサービスの提供者側にも同じ事が言えるため、サービス導入時は利用者側から積極的にセキュリティについて確認を取るようにしましょう。
5. サイバー攻撃
クラウドサービスで扱っているデータは、サービス提供者によって安全に管理・運用されることが基本ですが、サイバー攻撃を受ける事例も多く報告されています。
一因として、コロナ禍でクラウドサービスを取り巻く環境が変化したこともあるでしょう。テレワークの導入に迫られ、セキュリティ対策が不十分なまま運用を開始してしまったり、セキュリティ対策を行なわずECサイトを開設する中小企業の増加によるサイバー攻撃の被害が増加しています。
「提供されているサービスだから大丈夫」と、信頼してしまうのではなく、想定される脅威に対する対策を実施しましょう。
セキュリティに強いクラウドサービスの見分け方
クラウドサービスを導入する際は、セキュリティに強いサービスか確認しましょう。機能や使いやすさだけではなく、セキュリティについて積極的に発信している企業や、実績数が多く信頼の高い企業のサービスを選ぶことがポイントです。
セキュリティに強いクラウドサービスを選ぶ基準として、以下の3つの情報を参考にするとよいでしょう。
- クラウドセキュリティの認証を取得している
- ISMAPの利用
- 省庁公開のガイドラインを確認する
1. クラウドセキュリティの認証を取得している
クラウドセキュリティ対策を適切に実施していることを証明する、第三者による認証を取得している企業はセキュリティに強いと言えるでしょう。
代表的な企業に対するクラウドセキュリティの認証は、以下になります。第三者の認証を取得している企業のサービスを選定することで、高いセキュリティ強度が期待できます。
| 認証名 | 機関 | 対象国と拠点 | 詳細 |
|---|---|---|---|
| CSマーク | JASA(クラウドセキュリティ推進協議会) | 日本 | クラウド情報セキュリティ監査制度 ※ゴールドが第三者による認証 |
| CSA STAR | CSAジャパン | 全世界(日本支部、本部は米国) | CSAの認証制度:STAR認証について ※ISO/IEC 27001の保持が前提 ※レベル2が第三者による認証 |
| FedRAMP | GSA(政府調達局) | 全世界(米国) | FedRAMP |
| ISMSクラウドセキュリティ認証(ISO/IEC 27017) | ISMS-AC( 一般社団法人情報マネジメントシステム認定センター) | 全世界(日本) | ISMSクラウドセキュリティ認証 ※JIS Q 27001のアドオンとしてISO/IEC 27017が取得可能 |
| SOC 2および SOC 2+ |
AICPA(米国公認会計士協会) | 全世界(米国) | SOC 2® – SOC for Service Organizations: Trust Services Criteria |
2. ISMAPの利用
ISMAP(Information system Security Management and Assessment Program)は通称「イスマップ」と呼ばれ、NISC・デジタル庁・総務省・経済産業省を所管省庁とする「日本政府情報システムのためのセキュリティ評価制度」です。
ISMAPクラウドサービスリストには、政府が求めるセキュリティ要求を満たしているクラウドサービスが評価・登録されています。リストに記載されているクラウドサービスであれば、高基準なセキュリティレベルを維持しています。自社が活用している、または導入を検討しているクラウドサービスがリスト内にあるか確認しておくとよいでしょう。
3. 省庁公開のガイドラインを確認する
クラウドの導入・運用の見直しに有効な、各省庁が公開しているガイドラインをご紹介します。近年のさまざまなクラウドの利用形態では、セキュリティ対策も多岐に渡ります。
解説の角度は違いますが、IaaS、PaaS、SaaSそれぞれに役立つセキュリティ情報が説明されています。ガイドラインを参考にして、利用形態に合わせた対策を実施しましょう。
| ガイドライン | 公開 | 対象 | クラウドセキュリティに関する情報量 |
| クラウドサービス利用・提供における適切な設定のためのガイドライン | 2022年10月 総務省 |
クラウドセキュリティ対策 |
多 |
| 政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針 | 2022年12月28日 デジタル庁 |
クラウドサービスを導入するにあたってのセキュリティ情報 | |
| クラウドを利用したシステム運用に関するガイダンス(詳細版) | 2022年4月5日 内閣官房内閣サイバーセキュリティセンター 重要インフラグループ |
クラウドサービスを導入するにあたっての基礎知識 |
少クラウドセキュリティ 4つの基本的対策
セキュリティの強固なクラウドサービスを導入したとしても、自社の運用がおざなりではクラウドセキュリティが万全とは言えません。ここでは、クラウドサービスを利用するにあたり、共通する大切な対策を紹介します。
1. アカウント管理
アカウント情報の管理不備によるクラウド環境での不正アクセスや情報漏えいは、毎年多く発生しています。クラウドセキュリティでは、以下の点に注意してアカウントを管理しましょう。
- ログインに多要素認証を導入する
- サービスごとに異なるID・パスワードを設定し、使い回しをしない
- ユーザー権限・管理者権限など、アカウントを正確に分けて正しい利用者のみが許可された操作が行えるようにする
- 退職者や使用していないアカウントは迅速に削除する
利用しているクラウドサービスのユーザID・パスワードが流出してしまうと、悪意のある第三者によって不正アクセスが行われ、クラウドに保管している情報が狙われる恐れがあります。
また、同じID・パスワードを他のクラウドサービスでも使いまわしていた場合、別サービスにまで被害が及んでしまう可能性があります。アカウントの管理はしっかりと行いましょう。
2. データ管理
クラウドサービスを利用する上で注意したいのが、不本意なデータの漏えいや消失です。
- データの保管場所の確認
- データのバックアップ
クラウドサービスが「インターネットを介した」サービスであることを忘れてはいけません。外部に公開しているクラウドサーバーに誤って機密データを格納してしまい、外部からいつでも閲覧できる状態になってしまうケースが後を絶ちません。悪意のある第三者がデータを発見してしまうと、データの悪用に発展してしまう可能性があります。
また、クラウドサービスがインターネットを使用するものである以上、障害が発生してデータが消失してまったり、サービスが使えなくなってしまうこともあります。そのような場合に備え、データのバックアップを取得しておきましょう。また、サービスが使えなくなった時のために、一次的な代替の運用方法を用意しておくことも必要です。
3. ログの管理
IaaS、PaaSを利用する上で、何が発生しているのかを知る要素として、ログは重要です。ログにはクラウドサービスに起きたさまざまな事象が記録されています。いざという時のためにログの管理は不可欠な対策と言えるでしょう。
また、SaaSで利用している場合も、いざという時にサービス提供者からログの提供があるのかどうか、サービス導入前に確認をしておくとよいでしょう。
4. 各種サービスのアップデート
サービスの利用形態によってアップデートが必要な箇所も異なりますが、総じて言えることは、「アップデートはサービス提供者に任せておけばよい」という認識でサービスを利用しないことです。他人まかせにするのではなく、自主性を持ち、クラウドセキュリティを守る必要があります。
完全に安心してしまうのではなく、利用しているクラウドサービスにアップデートが無いか、バージョンアップが無いか、定期的に情報を見に行く習慣をつけておきましょう。
まとめ|クラウドセキュリティはサービスの選定と基本的な対策がカギ
クラウドサービスの利活用が急速に進みつつある中で、新しいセキュリティ対策が求められています。社内外の境界がセキュリティポイントであったオンプレミスとは違い、クラウドによって社内外の境界が曖昧になったことで、より複雑なセキュリティ対策が求められています。
クラウドセキュリティを強化するには、以下のポイントに注目するとよいでしょう。
- 提供者と利用者の責任範囲の正確な把握
- 行政機関が発行する各種ガイドラインの確認
- 安全なクラウドサービスの選定
- 基本的なセキュリティ対策の実施
クラウドの成長は著しいものであり、また、クラウドセキュリティに対する認識は利用者の年齢層によっても違いが多いのが特徴です。サービス提供者と利用者の間でセキュリティに対する齟齬が発生しないためにも、本記事に記載の情報をうまく活用し、必要な対策を取り入れてみてください。
