クラウドサービスのセキュリティとは?
クラウドサービスはOffice365やGsuiteなどのソフトウェア、サーバーやCPUなどのネットインフラなど自社に必要な設備やツールをインターネット経由で利用することです。 自社で全ての設備を用意して運用・管理を行うオンプレミスとは異なり、自社で設備を持つ必要がありません。
クラウドセキュリティとは、クラウド環境で自社の情報資産を守るためのセキュリティ対策です。ID認証やアクセス制限、通信データの暗号化など機密情報を犯罪者に盗まれないようにするため、多くの面に気を配る必要があります。
クラウドサービスを導入するメリットとは?
低コストでの運用可能、場所を問わない働き方の促進、管理者の業務負担軽減などが挙げられます。
低コストで運用が可能
自社で設備を用意せずに済むので、オンプレミスよりも遥かに低コストで運用・管理が可能です。利用したいクラウドサービスをオンラインで申し込み、ベンダーが設定した金額を支払えばすぐに利用ができます。ハードウェアの追加購入や特別な作業は必要ありませんので、初期費用も掛からず比較的スムーズな導入が可能です。
また、ベンダーによっては無料トライアルを設定している企業も多く、一定期間無料で試しながら操作性や機能性などを確認し、自社にとって必要なサービスかどうかを見極めることもできます。
テレワークとの親和性が高い
クラウドサービスはインターネットに接続する環境さえ確保されていれば、アクセス地点は問いません。 つまり、自宅や顧客先、カフェなどあらゆる場所で仕事ができます。働く場所を問わないため、現在導入が拡がっているテレワークの促進につながります。
在宅勤務やリモートワークなど場所や時間を問わない働き方は、社員と企業の双方にとって多くのメリットがあります。そして今後、取引先や関連企業と共同で仕事を進める機会が多い企業は、業務やプロジェクトに関連する全ての人がどの場所にいても仕事が進められるよう、必要なツールをクラウド上に集約する形が広まるでしょう。
テレワーク導入によるメリット
社員 | 企業 | |
内容 |
|
|
管理者の業務負担軽減
特定のサービスで通信障害が起きたとしても、管理者は対応する必要がありません。サービスを提供しているベンダーが対応するからです。また、企業の情報資産が保管されているデータセンターやサーバーなどは、不正アクセスやサイバー攻撃によって簡単に情報が盗まれないようベンダー側が強固なセキュリティ対策を敷いています。
知識やノウハウが豊富なプロの視点で対策を行うため、オンプレミスで管理を行うよりも遥かに強力で安全なセキュリティ対策が期待できます。
セキュリティ面から見るクラウドサービスのメリット
自社で機密情報を保持しないのでサイバー攻撃や盗難、紛失の被害を最小限に抑えます。 また、セキュリティ分野のノウハウがない企業にとってもサービスを使いやすい点がメリットとして挙げられます。
社員の利用するデバイス機器にデータを残さない
クラウド上に顧客情報や従業員の個人情報、企業の技術データなどを保管するため、盗難や紛失による被害を最小限に抑えられます。 社員のデバイス機器にデータは保存しません。帰宅途中で盗難や紛失にあったとしても、被害の影響を最小限に抑えられます。
さらにセキュリティ対策を徹底する場合は、業務で利用するノートPCをシンクライアント化します。シンクライアント化されたデバイス機器は最低限の機能しか持たず、個人が勝手にアプリのインストールやデータ保存ができない状態となります。
USB接続やソフトウェアのインストールをするだけで対応できる方法もあるので、シンクライアントはコストや手間も掛かりません。さらに、OSやアプリの運用・管理もサーバーが自動で行うため、管理者の業務負担も軽減します。
最新のセキュリティ対策をすぐに反映可能
クラウドサービスを提供しているベンダーは日々新しい知識や技術を採り入れ、最新のサイバー攻撃に対応するためのセキュリティ対策を講じています。犯罪者から簡単にセキュリティを突破されて頻繁にシステムダウンの発生や情報資産を盗まれるようであれば、ユーザーから信頼されません。
そのため、技術の結集や多額の資金を投じて強固なセキュリティ環境を作り上げています。また、ベンダーにはセキュリティ知識が豊富な社員が揃っており、万が一攻撃を受けたとしても被害を最小限に食い止めるための方法を熟知しています。セキュリティ面に関しての運用を一任できるため、知識やノウハウがない中小企業にとっても利用しやすいです。
クラウドセキュリティで行うべきポイントとは?
総務省が発表しているクラウドサービス利用時におけるセキュリティ対策の主要な内容になります。 自社がクラウドサービスを選定するうえで、セキュリティ対策を強化する上での参考にしてください。
- 災害や犯罪者から被害・攻撃を受けた場合のデータセンターのバックアップ体制
- 保存されたデータのバックアップ
- 通信の安定性
- サーバー、OS、ソフトウェア、アプリの脆弱性の有無
- 不正アクセスの防止
- ログ管理
- 通信やデータの暗号化
クラウドサービスはどのような環境で使用するべき?
クラウドサービスを利用できる環境は実装モデルによって複数の種類があります。今回はパブリッククラウドとプライベートクラウドの特徴を比較してみましょう。それぞれメリットがありますが、セキュリティの観点から見るとプライベートクラウドの方がより強固なセキュリティ対策を構築できます。
ただし、全ての情報をプライベートクラウドで保管するとコストが高くなります。そのため、重要度の高い機密情報はプライベートクラウドで保管し、重要度の低い情報はパブリッククラウドで管理するといった使い分けを実現するハイブリッドクラウドの導入が注目を高めています。
パブリッククラウド
ネットインフラやソフトウェアなどのリソースを不特定多数のユーザーと共同で使用する形です。企業や個人向けに広く提供しているベンダーのサービスを使用料金を支払って利用する形です。 「必要な分だけ利用し、使用した分だけ支払う」といったコスト面でメリットを感じられる点が大きな特徴です。反面、不特定多数のユーザーが利用するため、不正アクセスのリスクは高くなります。ベンダーがどれだけセキュリティ対策を強化しているかが、選定のポイントになります。
プライベートクラウド
各種リソースを共同で利用する形はプライベートクラウドと一緒ですがOSやソフトウェア、回線の設定を自由にカスタマイズできるので、自社専用のシステムにクラウド環境を構築可能です。 独自のセキュリティポリシーの設定を組織全体で統一して運用できるので、効率よく強固なセキュリティ対策を運用できます。そのため、顧客情報や技術データなどのより重要度の高い機密情報はプライベートクラウドで保管するのがおすすめです。
クラウドセキュリティでの主な5つの対策
アカウント情報の管理、サイバー攻撃対策、内部漏洩対策など5つの対策を紹介していきます。
アカウント情報の管理
社員のなりすましによる不正アクセスを防ぐために、認証機能やアクセス制限を強化する必要があります。ID認証やアクセス制限などの機能を搭載したIDaaS(Identity as a Service)の導入で、不正アクセスのリスク軽減を行います。
IDaaSの認証機能にはスマートフォンを活用した多要素認証(二段階認証・ワンタイムパスワード)、顔認証や指紋認証などをログイン時に課す生体認証などがあります。 ユーザー固有の情報をログイン時に求めることで、精度の高い本人認証を実現します。
また、社員の所属している部署に応じて閲覧可能なデータファイルや利用可能なサービスを限定することで、内部漏洩の抑止力となります。機密情報の持ち出しを防ぐ他、仮に情報漏洩が起きたとしても犯人の絞り込みをすぐに行えます。
アプリの脆弱性を狙った攻撃への対策
GsuiteやDropboxなど業務上利用しているアプリの脆弱性を狙った攻撃から情報資産を守るためのセキュリティ対策が必要です。 アプリの脆弱性を完全に無くすのは困難です。犯罪者が日々技術や知識を向上させている点やアプリ開発者が全ての工程で脆弱性を把握し、見つけることは困難だからです。
脆弱性を狙った攻撃に対しては、アプリ版ファイアウォールのWAF(Web Application Firewall)を設置してサイバー攻撃を検知・ブロックします。 WAFは通常のファイアウォールとは異なり、外部からのアクセス要求に対してシグネチャに基づいて許可の判断を下しています。 シグネチャはサイバー攻撃やマルウェアに含まれる特徴や傾向などをデータベースとして蓄積し、アクセス要求の中身と照合する機能です。
つまり、過去のデータベースからサイバー攻撃やマルウェア感染と類似性や共通点があった場合は、アクセスをブロックします。 ゼロデイ攻撃やクロスサイトスクリプティング、バッファオーバーフロー攻撃などに有効です。
ゼロデイ攻撃
ゼロデイ攻撃とは、犯罪者が一度ターゲット企業にアプリやソフトウェアの脆弱性を突いた攻撃を仕掛けた後、管理者が脆弱性を考慮した修正プログラムを配布する前に再び攻撃を実行することです。管理者が修正作業を行う時間を「ワンデイ」と数え、修正が終わる前に攻撃を仕掛けるためゼロデイ攻撃と呼ばれています。
ゼロデイ攻撃は攻撃の発信源であるマルウェアが検知されない限り、アプリやソフトウェア内に留まるため攻撃の予兆が掴めません。企業も限定的な対策しか取れないため、非常に深刻な脅威を与える攻撃の1つとされています。
クロスサイトスクリプティング
Twitterや掲示板などの入力フォームにスクリプトを貼って、ユーザーに個人情報を書かせる攻撃です。スクリプトをクリックするとポップ画面が何度も表示されたり、操作していないにも関わらずメッセージが送信されたりと不正操作が行われている状態に陥ります。ユーザーが混乱したのを利用して個人情報を入力するのが狙いなので、落ち着いて行動することが大切です。
バッファオーバーフロー攻撃
データを一時的に保存するバッファにキャパシティ以上の大量のデータを送り、システムダウンに追い込みます。バッファはデータを処理しきれずプログラムの制御も効かなくなり、犯罪者が自由に操作を行えます。PCが自由に操作できるので対象のサーバーやWebサイトをシステムダウンに追い込み、企業に深刻な被害を与えるDDos攻撃に悪用されるリスクもあります。
機密情報の持ち出し制限
顧客情報や技術データ、個人情報など企業が定めた重要な機密情報の持ち出しやコピーを制限します。ユーザーの行動ではなく情報を監視の対象とすることで、管理者の業務負担軽減や内部漏洩の抑止力となります。DLP(Data Loss Prevention)を導入すると、企業が独自に定めた機密情報の所在を自動検出し、データの持ち出しを行うユーザーを検知した場合はアラート通知や実行キャンセルを行い不正を防止します。
内部犯行はユーザーの行動を隅々まで把握するのが困難であるため、対策が非常に取りづらい点が課題として挙げられています。また、現在は在宅勤務やテレワークなどオフィス内よりも自由度の高い環境で仕事を行う機会も増えており、給料や人間関係、社内でのポジションなどに不満を抱えている社員が情報漏洩に踏み切ってもおかしくありません。
データの暗号化・有用性の証明
データのやりとりの中身を他者に見られないようにする暗号化やメールの有効性を示すために、HTTPS (Hypertext Transfer Protocol Secure) や電子署名を活用します。
HTTPS通信
Webサイトへのアクセスやメール内容を暗号化するために、SSL/TLSプロトコルを用いてやりとりを行う通信手段です。 暗号化していないHTTP(Hypertext Transfer Protocol)プロトコルでの通信のやりとりは、他者にデータの改ざん・破壊・悪用などに利用される可能性が高まります。 情報漏洩を防ぐためにも、自社で利用するWebサイトをHTTPS対応になっているか確認することと、アクセス制限によりHTTP対応のサイトは閲覧禁止に設定しておきましょう。
電子署名
電子署名は書類やメールに内容の正当性や有用性を持たせるために使用します。犯罪者にデータの改ざんや破壊をされたとしても、改ざん前に有用性を持つデータがあったことを証明するために時刻を示すタイムスタンプを書類に刻印します。
また、メールや文章の作成者が特定の相手だけに秘密鍵を送ることで、秘密鍵を持っていない者は内容閲覧ができません。そして、データの送信時には不規則に並べられたハッシュ関数を用いてやりとりを行うことで、他者による不正利用を防ぎます。
端末管理
ユーザーのPCやスマートフォンでの行動の可視化や必要に応じてアクセス管理を行います。行動を可視化することで、不正行為やマルウェア感染した場合にすぐに気づくことができるので、被害を最小化できます。一方、特定の端末からのみしかアクセスを認めないことで、不正アクセスのリスクを軽減可能です。
行動の可視化に関しては、PCやスマートフォンのセキュリティ監視と端末内の異常を検知・隔離する機能を持つEDR(Endpoint Detection and Response)の導入、アクセス管理に関してはIDaaSの機能の一つとして搭載している場合が多いです。