クラウドセキュリティとは?リスクやサービスを選ぶポイントを解説
クラウドセキュリティとは?リスクやサービスを選ぶポイントを解説
クラウドサービスは、かつてセキュリティに対する脆弱性を抱えており、利用にリスクがあると言われていました。現在は、政府が「クラウド・バイ・デフォルト」を原則とし、データをクラウド上で管理するようになるなど、クラウドサービスへの認識は大きく変化しています。ただし、クラウドの環境にはオンプレミス環境と異なるリスクがあることから、セキュリティリスクへの対策が必要です。
この記事ではクラウドサービスの持つセキュリティリスクと対策、セキュリティの高いサービスを選ぶためのポイントを解説します。
目次
1. クラウドセキュリティとは?
クラウドセキュリティとは、クラウド環境特有のリスクに備えたセキュリティ対策のことです。クラウド上にはさまざまな情報が保管されているため、クラウドサービスの活用時は、データの漏えいやサイバー攻撃、消失に対する安全性も考慮する必要があります。
必要なセキュリティ対策をとれるように、まずはクラウドサービスの仕組みを理解し、どのような特徴があるのかを把握しましょう。
1-1. そもそもクラウドサービスとは
クラウドサービスとは、ネットワーク経由でアプリケーションやソフトウェア、データベースなどを提供するサービスのことです。提供されているクラウドサービスは、主に以下の3種類に分けられます。
データやソフトウェアはインターネット上に保管されているため、インターネット環境さえあれば、いつでも、どの端末からでも利用できます。外出先からの接続や複数人での共有もでき、業務効率の向上、コストダウンなどのメリットがあります。
1-2. クラウドとオンプレミスのセキュリティの違い
利便性を感じつつも、クラウドのセキュリティ面を懸念し、オンプレミス(自社システムでの運用)を継続している企業も少なくありません。クラウドとオンプレミスのセキュリティには、以下のような違いがあります。
セキュリティ上での大きな違いは、データが保管されている場所です。オンプレミスは自社サーバーにある一方で、クラウドは事業者の管理下にあります。クラウドサービスは、自社基準でセキュリティをカスタマイズできないとは言え、メンテナンスや更新も任せられ、一定のセキュリティレベルを維持しやすいでしょう。
運用の違いによるメリット・デメリットがあっても、セキュリティの安全性に優劣はありません。クラウド化する際は、ニーズに合ったセキュリティを構築することを重視すべきでしょう。
2. クラウドサービスのセキュリティリスクと対策
クラウドサービスはインターネット経由で情報を保存・提供するため、ネットワーク上でのセキュリティリスクを抱えています。総務省の「クラウドサービス利用時の注意点」を中心に、クラウド導入時に注意すべき3つのリスクと対策を講じる際のポイントを紹介します。
2-1. 不正アクセス
クラウドセキュリティで重視すべきなのは、不正アクセスです。アクセス権限を持たない第三者が、システム内部に侵入し、企業機密の情報漏えいや破壊、データ改ざんをされる恐れがあります。1つの侵入経路から社内ネットワーク全体に被害が及び、ひいてはデータ内の取引先や顧客にまで被害が広がる可能性もあるでしょう。
セキュリティ面で脆弱なサーバーやネットワーク機器を足掛かりに、アカウント情報が流出して不正アクセスされるケースが多く見られます。不正アクセスへの具体的な対策例として、パスワードやネットワーク機器の管理の徹底、データの暗号化、多要素認証導入などがあげられます。
2-2. データ消失
災害やシステム障害によってサービス提供事業者のサーバーに不具合が生じると、保管されているデータが消失する恐れがあります。データ消失のリスクが0のストレージはなく、万が一消えてしまった場合の備えが不可欠です。
十分なデータの冗長性が確保されており、消失が起こりづらくなっているクラウドサービスを選べば安心です。サービスによっては、データ管理は利用者側の責任と利用規約で定めているものもあるため、データ復旧に対してどこまでサポートがあるのか確認しましょう。必ず重要データはバックアップを作成し、代替手段を用意することをおすすめします。
2-3. サイバー攻撃
ネットワーク上で情報のやり取りを行うクラウドサービスは、サイバー攻撃に狙われやすいという面があります。不正アクセスを目的としたマルウェア攻撃やアクセスを集中させて負荷をかけ、システムダウンをさせるDDoS攻撃など、攻撃の種類や被害はさまざまです。サイバー攻撃のリスクをなくすのは難しいため、セキュリティの脆弱性を診断してワークロード保護などの適切な対策を整え、安全性を高めましょう。
3. セキュリティの高いクラウドサービスを選ぶポイント
高いセキュリティが整っているサービスを選ぶには、クラウドセキュリティとして適切な認証基準をクリアしているかチェックすることが大切です。クラウドサービス選びの比較ポイントとなる認証制度の中から3つを解説します。
各小見出しでは、以下の出典も解説に利用しています。
出典:一般財団法人日本情報経済社会推進協会「クラウドサービスに関連する国内外の制度・ガイドラインの紹介」
3-1. ISMS
ISMSクラウドセキュリティ認証を受けている場合、クラウドサービスとして十分なセキュリティ基準を満たしていることが分かります。
ISMSとは情報セキュリティマネジメントシステムの略称で、情報管理に対する評価制度のことです。第三者機関である一般社団法人情報マネジメントシステム認定センターが、セキュリティが適切に導入、実施されているかどうかを認証します。
認証には、通常の情報セキュリティの規格であるISO27001に加え、クラウドサービス固有の国際規格ISO/IEC23017の導入が必要です。認証後も3年に1度の継続審査が必要なため、適切なクラウドセキュリティを備えているか判断する基準となるでしょう。
出典:情報マネジメントシステム認定センター「ISMS適合性評価制度」
3-2. CSマーク
CSマーク(クラウドセキュリティ・マーク)は、クラウドサービス事業者が行うべきセキュリティ基準に達していることを表すマークです。監査制度の要件を満たすと、特定非営利活動法人日本セキュリティ検査協会(JASA)によってマークが付与されます。
CSマークを使用できる期間は監査報告日より3年6か月で、申請により3年の延長が可能です。CSマークは「ゴールド」と「シルバー」の2種類があり、クラウドセキュリティの保証レベルが異なります。
出典:CSマークの種類「JCISPAクラウドセキュリティ推進協議会」
3-3. ISMAP
ISMAP(イスマップ)とは、政府が利用するクラウドサービスに向けた評価制度のことです。ISMAP運営委員会による監査をクリアしたクラウドサービス事業者は、ISMAPクラウドサービスリストに登録されます。監査は「ガバナンス」「マネジメント」「管理策」の3つの観点から行われ、1年4か月ごとに更新が必要となります。
登録されているサービスは、政府機関でも利用可能なレベルで安全性が示されているため、一定水準のセキュリティレベルに達していると言えるでしょう。
まとめ
クラウドセキュリティとは、クラウド環境の持つ脆弱性に備えたセキュリティサービスのことです。クラウドサーバーは事業者の管理下にあり、インターネットからアクセスを行うため、データへの不正アクセスやサイバー攻撃、消失に対する安全確保が重要になります。セキュリティの高いクラウドサービスを選ぶには、ISMS・CSマーク・ISMAPと言った評価・認証基準をクリアしたサービスを選ぶとよいでしょう。
また、クラウドサービスを利用する際には、自社のサイバーセキュリティの見直しも重要です。自社のセキュリティ状況を客観的に評価し、構築や見直しをサポートするSecurity Stewardの導入がおすすめです。
