BLOGAzureブログ

近年、クラウドサービスを導入する企業が増えています。しかしクラウドサービス選定時に懸念点として挙げられるのが、セキュリティです。たとえば「大切なデータを外部に預けるなんて漏洩の心配はないの？」「情報システムとして監査に耐えられるの？」などといったセキュリティリスクを心配したり、時には「自社のセキュリティポリシーに合致しない」という理由で導入をクラウドサービスの導入を見送るケースもあるようです。しかし、クラウドサービスも年々進化を遂げており、セキュリティも強化されています。そこで今回は、クラウドのセキュリティに対する対策のポイントをご紹介します。

クラウドセキュリティとは、クラウド環境において生じるリスクに対するセキュリティ対策のことです。
具体的にいえば、クラウドコンピューティング環境や、クラウド環境で実行されるアプリケーション等に保管されている重要なデータの情報漏えいや消失などから保護する対策のことをいいます。

クラウドセキュリティが必要な理由

クラウドサービスを利用するなど、クラウド環境を企業が利用する際に、セキュリティ対策が必要となる理由はどこにあるのでしょうか。

まず、クラウドサービスとは何かを理解する必要があります。クラウドサービスとは、サービス提供側のサーバー上に構築されたクラウド環境におけるアプリケーションやストレージなどの何らかのサービスを、利用ユーザー側がインターネットを通じて、共有するなどして提供が受けられるサービスです。
クラウドサービスでは、データはクラウドサービス事業者のサーバーに保管されており、インターネットを通じてアクセスするため、第三者の不正アクセスや情報漏洩のリスクが懸念されています。
このように、大切なデータがクラウドサーバー上に保管されるため、クラウドセキュリティ対策をしっかりと行う必要があります。

クラウドサービスを利用する上で発生しうるセキュリティリスクには、具体的にどのようなものがあるのでしょうか。その代表的なリスクを確認しておきましょう。

不正アクセスや不正ログインによる被害

先述の通り、クラウド環境においては、悪意ある第三者からの不正アクセスや不正ログインといったセキュリティリスクがあります。例えば、何らかの形で漏洩したIDやパスワードを悪用して不正にログインしてアクセスするなどが考えられます。

サイバー攻撃の脅威

悪意のある第三者が、何らかの意図を持って攻撃してくることもあります。クラウド環境への攻撃例としては、「DDoS（ディードス）」や「ブルート フォースアタック」などがあります。DDoS攻撃とは、Webサイトやサーバーに対し、過剰なアクセスやデータを複数のコンピューターから大量に送付することで負荷をかけ、サーバーダウンやネットワーク遅延などをもたらす手法です。ブルート フォースアタックは「総当たり攻撃」と呼ばれるもので、ユーザーのIDやパスワードを解読するために考えられるすべてのパターンを試し、不正ログイン・アクセスを試みる手法です。いずれも近年、ビジネス等において深刻な被害を生んでいます。

クラウドサービス事業者のシステム障害に影響を受けるリスク

クラウドサービスを提供する側は、通常、セキュリティ対策を強固に行っています。しかし、不測の事態によるサーバー障害や運用不備などのトラブルが発生した場合、クラウドサービスを利用している側も影響を受けてしまうリスクがあります。

情報漏えい、データ消失リスク

サーバーのセキュリティ対策を十分に行っていないと、不正アクセスやサイバー攻撃、及び関係者による悪用、災害やサーバーの障害などを通じて、お客様の個人情報といった重要なデータの情報漏えいや消失リスクがあります。

このように、クラウドのリスクを並べていると、「やっぱりクラウドって危険なのかな」と感じてしまいがちですが、実は、上記のリスクはオンプレミスなどでも発生する可能性があります。
例えば、上記で紹介した「クラウドサービス事業者の障害リスク」や「情報漏えい、データ消失リスク」は、オンプレミスでは「自然災害や火災による障害、データ消失」のリスクへと置き換わります。実際のところオンプレミスの運用にも、クラウドと同等、リスクが伴うのが現実です。

後述のように、セキュリティ対策をきちんと実施する、あるいはセキュリティ対策が施されているベンダーのクラウドサービスを利用することがポイントとなります。

オンプレミスとクラウドの総合的な比較につきましては、下記の記事をご覧ください。

参考情報：オンプレミスとクラウドの比較　メリット・デメリット

クラウドサービスへの不安は年々減少している

ICT市場専門のリサーチ・コンサルティング企業であるMM総研が2016年12月に発表したリリース（国内クラウド市場は1兆円を突破 ≪ ニュースリリース | 株式会社MM総研）によると、クラウドサービスの市場は年々大きくなっていますが、それと反比例するように、2015年の調査では、クラウドサービスのセキュリティを不安に思う層が25％以上だったのに対し、2016年の調査では20％前後へ減少するなど、セキュリティに対する不安イメージは大きく減少しています。

その理由として「クラウドサービス自体のセキュリティ対策の成果」や「利用者の増加に伴ったクラウドサービスの現状の認知」が進んでいるとMM総研では分析しています。

たとえば自宅にお金を置いておく「タンス貯金」よりも銀行にお金を預けるケースが多いのは、単に支払いや引き落としが楽だから、という理由だけではないでしょう。銀行の方が自宅よりもセキュリティがしっかりしているという側面もあるはずです。

同様に、企業にとって大切なデータも、自社よりもクラウドサービスの方がセキュリティがしっかりしていると考えるのであれば、クラウド上での運用という選択肢が出てきます。

セキュリティも「サービス」として提供される

オンプレミスやハウジングなど、自社で管理する環境で、サーバーやネットワークの構築・管理を行う場合には、情報システム部門はすべての機器に対してセキュリティ管理を行う必要があります。

具体的にはサーバーのOSやアプリケーションのセキュリティアップデート、ネットワーク機器のファームウェア、サーバールームへの入退室管理など、論理・物理・人的といった多方面の管理をしていかなければなりません。

しかし、情報システム部門がこういった作業を行いながら、同時に、もしゼロデイ攻撃を受けた場合には即座に十分なチェックと対策を取らなければならないということまで考えると、システム部門の負担が大きくなるのは明らかです。

そのような場合でも、SaaSのクラウドサービスを利用しているのであれば、これらの作業はすべて「サービス」として受けられます。セキュリティ対策を他の物理管理と同様、サービスとして受けられるのであれば、これほど助かることもないでしょう。

最新のセキュリティソリューションも利用可能

IaaS/PaaSなど、ユーザーの裁量の大きなソリューションについても、信頼できるクラウド事業者であれば、十分な対策が取られているものです。

たとえばMicrosoftのクラウドサービスであるMicrosoft Azureでは、Microsoftと提携するセキュリティ関連企業の最新製品がクラウドサービスの機能として追加できます。このようなことも大きなメリットになるでしょう。

監査にも耐えうるセキュリティ認証

企業の内部統制において、システム監査が厳しい場合や、顧客がデータの保存先としてクラウドを不安視するケースがあるかもしれません。そのような場合でも、信頼できるクラウドサービス事業者であれば問題ありません。

Microsoft Azureではクラウドセキュリティの国際標準となっている「ISO/IEC 27017」を取得していますし、Microsoftがクラウドに特化した ISO 27017 認定を新たに取得 - Cloud and Server Product Japan Blog）、日本クラウドサービスプロバイダー (CSP) を対象としたセキュリティ基準である「クラウド セキュリティ マーク (CS マーク)」もゴールドマークを取得しています。
クラウド セキュリティ ゴールド マーク

そして、総合的な情報セキュリティのために必要なISMS（情報セキュリティマネジメントシステム）。この要求をまとめた規格のISO/IEC 27001についてもMicrosoftは2009年に取得し、Azureでも広く適用されています（Microsoft Trust Center　｜　ISO/IEC 27001:2013 情報セキュリティ管理基準）。

これらの認証を自社で取得した場合には多額のコストがかかる非常に厳格なものであることを監査部門や取引先にも理解してもらえれば、認証を取得しているクラウドサービスを利用することのメリットを実感できるのではないでしょうか。

本来行うべきチェックに集中しよう

情報システム部門は、インフラ面のセキュリティチェックはできるだけアウトソースしてしまい、自社システムのセキュリティ対応に時間を割くべきです。その時間に比例して、情報システムの堅牢性は向上するからです。

業務に通じている者でなければできないチェックと、エンジニアとしての専門性があれば外部に任せられるチェック。この2つをうまく切り分けて、本来行うべきチェックに注力したいものです。

もし、企業や組織がこれまでオンプレミス環境で何らかのサービスを利用していて、今後、クラウドサービスへ移行しようとしている場合や、今後新たにクラウドサービス導入を検討している場合には、セキュリティについて次のポイントを押さえて選定することをおすすめします。

暗号化方式の種類の確認

クラウドサービスにおいては、通常、ユーザーのデータはクラウドサービス事業者のデータセンターに保管されます。そのため、通信経路上で盗聴や改ざんなどのリスクが生まれます。このことから、データは何らかの暗号化方式で暗号化されて送信されることが多いです。プライベートクラウドのような閉じた環境であっても、SSLサーバー証明書やSSHといった方法で暗号化が行われています。クラウドサービスの選定時には、暗号化がされているか、また、どのような種類の暗号化方式が使われているのかをよく確認したほうがいいでしょう。

ウイルスチェックは可能か／方法は明確か

クラウドサービスを利用するユーザー側がウイルスチェックを行えるのか、またその方法は簡単かつ明確に解説されているかは重要なポイントです。ウイルスチェックは、サービス事業者側で行っているという場合も、どの時点でどのように行っているのか、念のため確認しておくとよいでしょう。

クラウドサービス事業者が実施しているセキュリティ対策

多くのクラウドサービス事業者は、データセンターの物理的な情報セキュリティ対策、例えば、災害対策や侵入対策などを実施しています。
例えば、データのバックアップやハードウェア機器の障害対策、アプリケーション等における脆弱性の判定と対策、不正アクセスの防止、アクセスログの管理、通信の暗号化設定などが挙げられます。事業者側で行われているセキュリティ対策を一通り確認し、不明点があれば明らかにしておくことが重要といえます。