クラウドセキュリティとは
クラウドセキュリティとは、クラウド環境上で扱われるデータやアプリケーション、システムを不正アクセスや情報漏えい、サイバー攻撃から守るための総合的な対策を指します。具体的には、通信の暗号化、アクセス制御、ログ監視、マルウェア対策、脆弱性管理などが含まれます。
クラウドはインターネット経由で利用されるため、オンプレミスとは異なる脅威への対応が求められます。そのため、クラウド事業者と利用企業が役割分担する「責任共有モデル」を理解し、自社の利用形態に合った適切なセキュリティ対策を講じることが重要です。
クラウドセキュリティの責任共有モデル(責任範囲)
クラウドセキュリティを理解する上で欠かせないのが「責任共有モデル」という考え方です。これは、クラウド事業者と利用者が、それぞれの分担範囲においてセキュリティ責任を負う仕組みです。「クラウドだから事業者がすべて守ってくれる」わけではありません。
利用するクラウドサービスの形態によって、利用者が対策すべき範囲は以下のように異なります。
| サービス形態 | 事業者の責任範囲 | 利用者の責任範囲(対策が必要) |
|---|---|---|
| SaaS (Webメール、CRMなど) | アプリケーション OS インフラなど全般 | データ管理 ID・アクセス権管理 利用端末の保護 |
| PaaS (開発プラットフォームなど) | OS ミドルウェア インフラ | アプリケーション開発 データ管理 アクセス権管理 |
| IaaS (仮想サーバーなど) | 物理インフラ 仮想化基盤 | OS ミドルウェア アプリケーション データなど(OS以上すべて) |
特に利用頻度の高いSaaSであっても、ID管理やデータの取り扱いについては利用者自身が責任を持って管理する必要があります。
クラウドで起こりうるセキュリティリスク
クラウド環境では具体的にどのようなセキュリティリスクがあるのでしょうか。一般的なセキュリティリスクについて解説します。
不正アクセスによる情報漏えい
クラウド環境では、インターネット経由でサービスを利用するため、オンプレミスと比べて外部との境界が曖昧になりがちです。したがって、マルウェアやコンピュータウイルスの感染などによってID・パスワードが流出すると、不正アクセスされ情報漏えいする可能性があります。情報漏えいは社会的信頼の低下につながるため、必ず防止すべきリスクです。
DDoSやSQLインジェクションなどのサイバー攻撃
DDoSは、複数のコンピュータから大量のデータを送信し、サーバの稼働停止を狙う攻撃手法です。サーバに過剰な負荷がかかり、一時的にシステムへのアクセスができなくなります。
SQLインジェクションは、不正なSQL文をアプリケーションに仕込み、システムのデータベースを不正に操作する攻撃手法です。被害に遭うとデータベースから機密情報を奪われたり、Webサイトにマルウェアを仕込まれたりします。
障害や不具合によるデータ消失リスク
クラウドサービスを利用する以上、障害や不具合によるデータ消失のリスクは常に意識しなくてはなりません。災害やサイバー攻撃によるシステムダウン、機器の物理的な故障など、さまざまなリスク要因を考慮してシステム運用する必要があります。複数のユーザーでデータ管理している場合は、ひとりのユーザーが誤ってデータを消したり破損させたりする「ヒューマンエラー」にも注意が必要です。
クラウドで考えるべきセキュリティ要素
クラウドセキュリティ対策を検討する際は、以下の3つの要素(CIA)を維持することが基本となります。
- ●機密性(Confidentiality):許可された人だけがデータにアクセスできる状態を保つこと。
- ●完全性(Integrity):データが正確で、改ざんされていない状態を保つこと。
- ●可用性(Availability):必要な時にいつでもデータやシステムを利用できる状態を保つこと。
これらの要素をバランスよく確保することが、強固なクラウドセキュリティにつながります。
自社でも実施できるクラウドセキュリティ対策
続いて、社内でも実施できるクラウドセキュリティ対策について解説します。
パスワードの強化
IDやパスワードなどのログイン情報は、簡単に解読されないよう工夫しましょう。あえて複雑にする必要はありません。しかし、生年月日や名前など、簡単に推測されやすい数字や文字を使わないようにしましょう。自分にしかわからないワードを混ぜるなどして、ちょっとしたオリジナリティを加えることが大切です。
また、パスワードは、パスワードマネージャーを利用するなどして、サービスごとに管理することが大切です。同じパスワードを使い回してはいけません。1つのサービスをクラッキングされるだけで、すべてのサービスに不正アクセスされる可能性があるためです。パスワードマネージャー自体にも強力なパスワードを設定しましょう。
適切な権限設定
社内の人間に適切な操作権限を与えることで、ヒューマンエラーによるデータ消失や社内不正による盗難を防止できます。ひとりのユーザーが誤ってデータを削除したり追加したりすることもありません。
たとえばオンラインストレージでは、編集者やビューアー、共同所有者などの職種別に、アップロードやファイルの編集、削除といった操作権限を付与できます。
多要素認証の導入
多要素認証は、複数の要素でログイン認証する方法です。スマートフォンなどの別媒体を認証機器として利用する「二段階認証」や、指紋などの生体情報を利用する「生体認証」などを活用します。IDやパスワードを不正利用されても他の要素でログイン認証でき、不正アクセスの防止につながります。非常に強固なセキュリティ対策となるため積極的に導入しましょう。
バックアップの取得
サービス管理側で障害や不具合が起こったときに備え、データをバックアップしておくことが重要です。すぐにシステムを復旧できるよう、会社のサーバや外付けドライブなどにバックアップデータを保存しておきましょう。
クラウドセキュリティ製品の必要性
外部との境界があいまいなクラウドはサイバー攻撃の対象になりやすいため、しっかりとセキュリティ対策する必要があります。しかし近年のサイバー攻撃は多様化しており、自社だけで網羅的な対策をするのが困難です。
そのためクラウドセキュリティを実施する際は、あらかじめアクセス制御や異常検出などの便利機能がパッケージ化されている製品を利用しましょう。クラウドセキュリティ製品を導入することで、社内に専門的な人材がいなくても、低コストで高度なセキュリティ対策を実施できます。
クラウドセキュリティ製品は、ベンダーによって機能性や特徴が異なります。サイバー保険がついているものや、メールを悪用したサイバー攻撃に特化したものなどさまざまです。比較・検討して自社にあったものを導入しましょう。
まとめ
クラウドコンピューティングは、インターネット上で簡単にサービスを提供できる便利な技術です。ただし外部との境界があいまいでサイバー攻撃の対象になりやすいため、しっかりとセキュリティ対策する必要があります。
クラウドセキュリティとは何かを知って、外部からの不正アクセスやヒューマンエラーによるデータ流出などを未然に防止しましょう。
