クラウドセキュリティリスク
こちらでは、情シスのクラウドサービスのセキュリティリスクについて取り上げ、主なリスクの内容や7つのセキュリティ対策などを取りまとめて解説しています。
改めてご説明しておきますと、クラウドとはインターネットなどを介してソフトウェアやアプリケーション、データやリソースなどが利用できる環境のこと。比較的低いコストかつ短期間でITインフラを構築することができるので、導入事例も右肩上がりとなっています。
その反面、セキュリティ面に不安を感じるという声もよく聞かれます。重要なのは、セキュリティリスクをしっかり把握し、適切な対策を行うこと。ぜひ、知識を深めておいてください。
クラウド環境のセキュリティリスクについて
情報漏えい
クラウドサービスでは一般的に、サービス提供事業者のサーバーに各種データが保管されており、利用者は所定IDやパスワードの入力といった手順を踏んでログインし、データにアクセスするという方式です。そうした方式ゆえに、悪意のある第三者がセキュリティの壁を破って侵入し、情報データを盗み出すというリスクがあります。
データ消失
クラウドは各種データを外部のストレージであるサービス提供事業者のサーバーに保管できるというのがメリットのひとつですが、保存されているデータが消失してしまうというリスクもあります。災害やサーバーの障害といったことが原因となる場合もありますが、意外と多いのはユーザーが操作を誤ってデータを消去してしまったり破損させてしまうというケース。とりわけクラウドはデータ共有が行いやすいので、複数のユーザーがひとつのデータにアクセスするという場合、こうしたリスクが起きやすくなります。
サイバー攻撃
クラウドはその方式ゆえに、外部からのサイバー攻撃にさらされやすいことがリスクとして挙げられます。例えば「DDoS」(ディードス)という攻撃方法は、クラウドサーバーに複数のコンピュータから大容量のデータを一斉かつ一方的に送り付けてシステムを過負荷状態に陥らせ、システムをダウンさせてしまうという手口。
また「ブルートフォースアタック」という手口は総当たり攻撃とも呼ばれ、暗号や暗証番号などを手当たり次第入力して不正にログインを試みるというやり方になります
不正アクセス
上記の情報漏えいやサイバー攻撃も広い意味では不正アクセスの一種と言えますが、マルウェアによってIDやパスワードが流出したり、より単純にIDやパスワードの杜撰な管理によって、不正ログインが行われるということが起こり得ます。
パスワードの使い回しを避ける、推測されにくい不規則かつ複雑なパスワードを設定するといった対策に加え、スマートフォンや端末証明書などを用いた多要素認証を併用するといったことが求められます。
クラウドのセキュリティ対策7つ
情報の暗号化
インターネット上でのやりとりを第三者が読み取れないようにする防御策のひとつが暗号化になります。暗号化を実践するにあてって不可欠なのがSSL(Secure Sockets Layer)という技術ですが、無料Wi-Fiなどは、SSLに非対応というケースもあり。外出先などからアクセスする場合には、環境が整っているかどうかを確認する必要があります。
ユーザー認証
IDとパスワードの入力だけでは第三者による不正アクセスのリスクは高まります。例えばSSLクライアント認証やワンタイムパスワードを用いるなど、ユーザー認証をよりレベルの高いものにすることで、セキュリティリスクを大きく軽減できます。
データバックアップ
前述の通りクラウド保存してあるデータは、消失リスクを完全に回避するということは困難です。万一データ消失が起きてしまった場合に備え、定期的にバックアップを取ることが求められます。HDDなどのオンプレミスの外部ストレージを用いたり、バックアップ用に別のシステムを利用するなどの方法があるので、自社に適したやり方を選ぶと良いでしょう。
データ保管場所の把握
クラウドを利用する機会が増えるほどに、保管するデータの量もどんどん増加していきます。そうした場合、どこにどのデータがあるのか分かりにくくなってしまい、いざアクセスしようとしてもなかなか見つからないという事態も起こり得ます。フォルダの分類など整理整頓を適切に行い、誰が見てもどこになにがあるかが分かる状態にしておくことが大切です。
アクセスを制御
不正アクセス防止に大きな効果を発揮するのは何と言っても、アクセスできる条件をより厳しくするというやり方になります。例えばクラウドにアクセスできるIPアドレスを制限したり、予め登録されて端末からでないとアクセスできないといった対策が有効と言えます。
事業者の選定
そもそもの話として、クラウドサービスの提供事業者を選ぶ際には、コストやサービス内容を重視しがちですが、セキュリティのレベルもしっかりチェックすべきです。一般的にセキュリティレベルは高くなればなるほど、より手間や面倒も増えていきますので、自社に適したセキュリティレベルかどうかを判断して選ぶことが大切です。
CISベンチマーク
無償でセキュリティ対策を行える手段として、CISベンチマークの活用があります。CISベンチマークとは、クラウドサービスを運用する上での成功事例がまとめられたもので、ドキュメントとしてインターネット上で公開されています。
クラウドのセキュリティリスクは適切に回避
以上の通り、クラウドの利用にはセキュリティリスクが常に存在しているというのが現実です。しかしながら、その内容をしっかり理解し、適切な方策を行えば、回避することができるというものでもあります。そうした回避を確実に行うためにも、その道の専門家である情シス業者に、サポートを依頼すべきです。
おすすめのアウトソーシング会社3選
情報セキュリティに関する第三者認定を取得している点に注目し、その上で他にも特徴的なサービスを提供しているアウトソーシング会社を選定し、おすすめしています。
「情シスアウトソーシング」とGoogle検索し、ヒットした上位50ページのサイトのうち、公式サイトが表示された会社28社を調査。そこから、オンサイト対応している、公式サイトに事例を掲載している、プライバシーマークもしくはISO27001を取得している会社からそれぞれ選定して紹介しています。(2024年4月15日調査時点)
情シス業務を引き継げる
本社所在地・対応範囲
所在地 | 東京都港区港南1丁目2番70号 品川シーズンテラス24F |
---|---|
対応 エリア |
日本全国 |
スク
を立ち上げられる
本社所在地・対応範囲
所在地 | 熊本県熊本市中央区辛島町3-20 NBF熊本ビル3階 |
---|---|
対応 エリア |
応相談 |
資産管理まで依頼できる
本社所在地・対応範囲
所在地 | 東京都千代田区大手町一丁目9番2号 大手町フィナンシャルシティ グランキューブ19F |
---|---|
対応 エリア |
記載がありませんでした |
関連ページ
【コラム】情シスの抱える課題や解決策