大切なデータを外部に預けるのは不安。
クラウドのセキュリティは大丈夫?
2017.04.19
クラウドサービスが急速に広まりつつある昨今ですが、まだ導入を渋る人たちは少なくありません。その大きな理由の一つとしてあげられるのが「セキュリティ」です。たとえば「大切なデータを外部に預けるなんて漏洩の心配はないの?」「情報システムとして監査に耐えられるの?」などといったことです。
確かに経営者層や上司、顧客は、そのような心配をするかもしれませんが、実際にはクラウドサービスのほうがオンプレミスで管理するより安全な面があり、さらにセキュリティ周りの運用が楽になるなど、クラウドサービスの活用は、必ずしもセキュリティの点ではNOとはなりません。
ではクラウドサービスの十分な安全性とは、どういった部分にあるのでしょうか?
クラウドサービスへの不安は年々減少している
ICT市場専門のリサーチ・コンサルティング企業であるMM総研が2016年12月に発表したリリース(国内クラウド市場は1兆円を突破 ≪ ニュースリリース | 株式会社MM総研)によると、クラウドサービスの市場は年々大きくなっていますが、それと反比例するように、2015年の調査では、クラウドサービスのセキュリティを不安に思う層が25%以上だったのに対し、2016年の調査では20%前後へ減少するなど、セキュリティに対する不安イメージは大きく減少しています。
その理由として「クラウドサービス自体のセキュリティ対策の成果」や「利用者の増加に伴ったクラウドサービスの現状の認知」が進んでいるとMM総研では分析しています。
たとえば自宅にお金を置いておく「タンス貯金」よりも銀行にお金を預けるケースが多いのは、単に支払いや引き落としが楽だから、という理由だけではないでしょう。銀行の方が自宅よりもセキュリティがしっかりしているという側面もあるはずです。
同様に、企業にとって大切なデータも、自社よりもクラウドサービスの方がセキュリティがしっかりしていると考えるのであれば、クラウド上での運用という選択肢が出てきます。
セキュリティも「サービス」として提供される
オンプレミスやハウジングなど、自社で管理する環境で、サーバーやネットワークの構築・管理を行う場合には、情報システム部門はすべての機器に対してセキュリティ管理を行う必要があります。
具体的にはサーバーのOSやアプリケーションのセキュリティアップデート、ネットワーク機器のファームウェア、サーバールームへの入退室管理など、論理・物理・人的といった多方面の管理をしていかなければなりません。
しかし、情報システム部門がこういった作業を行いながら、同時に、もしゼロデイ攻撃を受けた場合には即座に十分なチェックと対策を取らなければならないということまで考えると、システム部門の負担が大きくなるのは明らかです。
そのような場合でも、SaaSのクラウドサービスを利用しているのであれば、これらの作業はすべて「サービス」として受けられます。セキュリティ対策を他の物理管理と同様、サービスとして受けられるのであれば、これほど助かることもないでしょう。
最新のセキュリティソリューションも利用可能
IaaS/PaaSなど、ユーザーの裁量の大きなソリューションについても、信頼できるクラウド事業者であれば、十分な対策が取られているものです。
たとえばMicrosoftのクラウドサービスであるMicrosoft Azureでは、Microsoftと提携するセキュリティ関連企業の最新製品がクラウドサービスの機能として追加できます。このようなことも大きなメリットになるでしょう。
監査にも耐えうるセキュリティ認証
企業の内部統制において、システム監査が厳しい場合や、顧客がデータの保存先としてクラウドを不安視するケースがあるかもしれません。そのような場合でも、信頼できるクラウドサービス事業者であれば問題ありません。
Microsoft Azureではクラウドセキュリティの国際標準となっている「ISO/IEC 27017」を取得していますし( Microsoftがクラウドに特化した ISO 27017 認定を新たに取得 - Cloud and Server Product Japan Blog)、日本クラウドサービスプロバイダー (CSP) を対象としたセキュリティ基準である「クラウド セキュリティ マーク (CS マーク)」もゴールドマークを取得しています(クラウド セキュリティ ゴールド マーク)。
そして、総合的な情報セキュリティのために必要なISMS(情報セキュリティマネジメントシステム)。この要求をまとめた規格のISO/IEC 27001についてもMicrosoftは2009年に取得し、Azureでも広く適用されています(Microsoft Trust Center | ISO/IEC 27001:2013 情報セキュリティ管理基準)。
これらの認証を自社で取得した場合には多額のコストがかかる非常に厳格なものであることを監査部門や取引先にも理解してもらえれば、認証を取得しているクラウドサービスを利用することのメリットを実感できるのではないでしょうか。
本来行うべきチェックに集中しよう
情報システム部門は、インフラ面のセキュリティチェックはできるだけアウトソースしてしまい、自社システムのセキュリティ対応に時間を割くべきです。その時間に比例して、情報システムの堅牢性は向上するからです。
業務に通じている者でなければできないチェックと、エンジニアとしての専門性があれば外部に任せられるチェック。この2つをうまく切り分けて、本来行うべきチェックに注力したいものです。
