お問い合わせクラウドセキュリティとは?クラウド環境におけるリスクや対策方法をまとめて解説
クラウドサービスが広く普及したことによって、導入または検討する企業が増加しています。一方、クラウドサービスの利用による情報漏えいや不正アクセスといったニュースが報じられることもあり、セキュリティ面に不安を感じている人も少なくないでしょう。
この記事では、クラウドサービスの利用に欠かせない「クラウドセキュリティ」について紹介します。クラウド環境特有のリスクや対策方法についても解説しますので、ぜひ参考にしてください。
クラウドセキュリティとは
クラウドセキュリティとは、クラウド(クラウドコンピューティング)環境におけるセキュリティ対策を指す言葉です。ソフトウェアやアプリケーション、クラウド上で保管されているデータなどを、漏えいや消失などから保護します。
クラウド環境でどのようなセキュリティ対策が行われているかは、サービス提供者のセキュリティポリシーによって異なります。安全に利用するためには、サービスごとにクラウドセキュリティ対策を講じなくてはなりません。
クラウド環境における4つのセキュリティリスク
クラウド環境では、主に「情報漏えい」「データ消失」「サイバー攻撃」「不正アクセス」といったクラウドセキュリティリスクが考えられます。それぞれのリスクについて、正しく理解しておきましょう。
情報漏えい
クラウドサービスでは、データは提供元が管理するサーバに保存され、インターネットを経由して利用します。インターネットがつながる環境であれば、時間・場所を問わずサービスの利用が可能ですが、インターネット利用中は常に情報漏えいが発生するリスクが伴います。
データ消失
災害やサーバの障害、外部からの不正アクセスによるデータ消失も、大きなセキュリティリスクのひとつです。データ共有がしやすい反面、誰かが操作を誤り、重要なデータを消失してしまうケースもめずらしくありません。
サイバー攻撃
インターネットへの接続が必須のクラウド環境は、サイバー攻撃を受けやすいリスクもあります。サイバー攻撃には、サーバに対して一斉に膨大なデータを送りつけたり、正規ユーザーになりすましてシステムにアクセスしたりなど、さまざまな手口があります。
不正アクセス
不正アクセスとは、悪意のある第三者によるシステムやサーバへのアクセスすることを指します。企業の機密情報や個人情報の漏えい、システムの改ざん・停止、さらには不正アクセスの発生といった影響が考えられます。
J’s X(ジェイズクロス)紹介資料ダウンロードのお申し込み
クラウドセキュリティガイドラインとは?
クラウドセキュリティガイドラインは、2011年4月に経済産業省が作成した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の通称です。
サービス提供者が高機能なクラウドセキュリティシステムを構築したとしても、利用者の認識がなければ意味がありません。一方、利用者が情報を慎重に扱っていたとしても、事業者が提供するサービスのセキュリティレベルが低ければ、情報漏えいや不正アクセスが起こり得るでしょう。
クラウドセキュリティガイドラインには、クラウドサービスの提供者だけでなく、クラウドサービス利用者に対しても、気をつけるべき点やセキュリティ対策などに関する指針が記されています。
総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」
クラウドセキュリティガイドラインが策定された背景
クラウドセキュリティガイドラインが策定された背景として、世界的にICT活用が広がったことが挙げられるでしょう。中でも、使い勝手が良く、IT関連コストの削減にもつながるクラウドサービスは急速に普及しています。
クラウドサービスの普及に伴い、国内では不正アクセスによる情報漏えいや大規模な障害が増加しました。このような状態では、安心してクラウドサービスを利用することができません。そこで政府は、クラウドサービス活用に伴うリスクを最小限に抑え、尚且つデジタル活用を進めるため、2011年4月に「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を策定しました。
国内だけではなく、国外のクラウドサービスも安心して利用できるよう、クラウドセキュリティガイドラインの国際標準化も行われています。
2010年10月のベルリン会合において、日本は英訳したガイドラインを提案しました。参加各国とともに内容が検討され、2015年12月にクラウドセキュリティにおける国際規格として「ISO/IEC27017」が発行されています。
クラウドサービス提供者向けのガイドライン
総務省は、安全・安心なクラウドサービスの利活用推進のため、2014年4月に「クラウドサービス提供における情報セキュリティ対策ガイドライン」を公表しました。
その後、IoTサービスを提供するクラウドサービスにおけるリスクへの対応を考慮した策定を行い、2018年7月に第2版として公表しています。さらに、2021年9月には、第3版が公表されました。
第3版のクラウドセキュリティガイドラインには、3つの改定ポイントがあります。
・SaaS/PaaS/IaaSの特性や、クラウドサービス提供におけるクラウドサービス同士の相関性を踏まえた責任分界のあり方について追記
・責任分界に関する整理を踏まえ、3つのパターンに整理する形でガイドラインの章構成を見直し
・国際規格(ISO/IEC27017:2016)やNIST SP800-53 rev.5において記載されているセキュリティ対策と整合性をとる形で、セキュリティ対策の内容見直し
上記のように、最新版の「クラウドサービス提供における情報セキュリティ対策ガイドライン」は、クラウドサービスを取り巻く環境変化に合わせた内容となっています。
利用者・提供者双方向けのガイドライン
クラウドサービスの利用者と提供者、双方に向けたクラウドセキュリティガイドラインには、「クラウドサービス利用・提供における適切な設定のためのガイドライン」があります。「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」をベースにし、2022年10月に公表されました。
近年、クラウドサービスの設定不備による顧客の個人情報の漏えいが増加していることから、このクラウドセキュリティガイドラインは主に「クラウドサービスの設定」に特化した内容となっています。クラウドサービスの利用者と提供者それぞれを対象に、実施することが望ましい対策が記載されているのが特徴です。
利用者に求められる対策として、組織体制・人材育成、作業規則やマニュアルの整備、システム動作環境の設定管理、システム動作環境設定の方法論などが記載されています。このガイドラインでの利用者とは、クラウドサービス全体の動作に関わる設定を行う人を指し、設定等を行わないエンドユーザは対象外です。
提供者に求められる対策では、組織体制や人材育成に加え、提供するサービスの改善等の対策を記載するとともに、利用側に提供すべき情報や学習コンテンツ、学習機会、利用者を支援するツール等も解説されています。
J’s X(ジェイズクロス)紹介資料ダウンロードのお申し込み
クラウドセキュリティ8つのリスクへの対策
「クラウドセキュリティガイドライン活用ガイドブック」には、 クラウドサービスで想定される8つのリスクと対策が記されています。どのようなリスクがあり、どのような対策をとるべきなのかを確認しておきましょう。
インフラ
インフラに関するリスクには、データの外部流出やなりすまし被害による情報漏えい、電源喪失によるサービス停止などがあります。
通信の暗号化を行ったり、なりすましがないことを確認するために必要に応じて証明書を活用したりといった対策を行うことが重要です。万が一の電源トラブルへの対策として、バックアップ電源の定期的なテストも行いましょう。
仮想化基盤
仮想化基盤に関するリスクには、新たな技術に対する知識や経験不足による事故対応の不備、ITサービス継続の中断などがあります。
インスタンスのバックアップやシステム構築のテンプレートを用意し、トラブルに備えておくことが重要です。また、バックアップデータの復元ができるよう、他のクラウドサービスと契約しておくのも対策のひとつです。
サービス基盤
サービス基盤に関するリスクとして、単一障害点となる認証サービスへの攻撃や、決済サービス・ストレージサーバへの攻撃などがあげられます。
単一障害点のリスク対策として、サービス構成図の作成および単一障害点を明確にすることが重要です。また、共有サービスを利用する場合は、脆弱性を正しく理解した上で、サービス継続性を考慮した適切な対応をすることが望ましいでしょう。
統合管理環境
統合管理環境に関するリスクは、すべてのリソースに攻撃者がアクセスできる可能性があることです。単体のサーバを狙った攻撃よりも、多くの影響をシステムに与える恐れがあります。
データの改ざんやサービス停止に備えて、十分な保護を行うことはもちろん、アクセス管理を適切に行うことも必要不可欠です。クラウドサービスの監視は非常に難しいため、IDS(侵入検知システム)などを利用した、ホストレベルでの監視も検討するとよいでしょう。
データ管理
データ管理に関するリスクは、データ管理方針の不徹底によるガバナンスの喪失や不正なデータの取得によるウイルス感染があります。
物理的な確保が難しいガバナンスを管理するためには、情報資産の分類方針を明確化し、適切なアクセス権を設定することが重要です。また、ウイルス感染の危険をなくすために、データのアップロード時およびダウンロード時のウイルススキャンを徹底しましょう。
データ分類
適切なデータの分類ができないことは、適切なアクセス権を設定できないことにつながります。これが、クラウドサービス利用時のデータ分類におけるリスクです。
一貫したアクセス権設定ができていなければ、データのライフサイクル管理が行えず、データ漏えいにつながる恐れもあります。クラウドサービス上で扱うデータは、作成、保管、利用、共有、廃棄といった管理の手順を明確化し、適切なアクセス管理を行うことが重要です。
ID管理
ID管理に関する主なリスクとして、ネットワークからの攻撃とIDフェデレーションが挙げられます。外部の認証サーバを利用してログインするIDフェデレーションは、ID管理の元となるサービスにトラブルが発生した場合、他のサービスも影響を受ける可能性があります。
パスワードの複雑化だけでなく、二要素認証や二段階認証の実装を行う他、サービスごとのID管理レベルを決めておくとよいでしょう。
人員
いくらIT化を進めても、すべてが自動化にならない限り、人員に関するリスク対策は必要です。人員に関するリスクは、主に利用者のリテラシー不足によるものです。クラウドサービスはまだ新しいサービス形態であり、利用者全員がサービスの仕組みについて十分な知識を持っているとは限りません。
利用者に十分な注意喚起ができるよう、資料作成や手順の文書化、研修を実施するなど、組織として全体のリテラシーの底上げを行うことが重要です。
J’s X(ジェイズクロス)紹介資料ダウンロードのお申し込み
まとめ
クラウドサービスは、導入コストが抑えられたり、時間や場所を問わず利用できたりなど、さまざまなメリットがあります。しかし、情報漏えいや不正アクセスによるサービス停止が発生した場合、企業の信用や事業継続に大きな影響を与えることも忘れてはいけません。
クラウドサービスを正しく安全に利用するためには、サービス提供者と利用者、双方がクラウドセキュリティについて正しく理解することが重要です。
「J’s X」はあらゆる業務プロセスをシンプルにする業種・業務特化のソリューションです。各システムのログを収集し、異常があった場合には担当者に通知を行い、対処するためのタスクの割り当てを行う機能、セキュリティオペレーション管理機能も持ちあわせているため、クラウドセキュリティのサポートも可能です。
クラウドセキュリティは情報量が多く、自社で対応することに不安を感じる場合は、業界に合わせた支援が可能な「J’s X」の導入をご検討ください。