クラウドサービスを使う上で押さえておくべきセキュリティ知識

クラウドサービスはその利便性の高さから近年、急速に普及したサービス提供形態の一つですが、注意しなければならないリスクも持ち合わせています。ここでは、クラウドサービス固有のリスクについて解説し、安全なクラウドサービスを選ぶ上で押さえておくべきポイントや利用者側でできる安全対策について解説します。

クラウドサービス固有のリスクとは？ 

クラウドサービス固有のリスクとして、まず、押さえておかなければいけないのは、データのやり取りをネット接続で行う点です。

クラウドサービスではデータをサービス提供者が管理するデータセンターで保管し、ネット回線を通じてやり取りをするため、不具合やシステム障害、ハッキングなどによって保存していたデータが消失したり、流出する可能性があることを押さえておきましょう。

また、クラウドサービスでは、管理者の想定していない端末からのアクセスにも注意しなければいけません。クラウドサービスはIDとパスワードを知っていれば、どこからでもアクセスできる関係上、ときには管理者の想定していない端末からのアクセスも起こり得ます。

オンプレミスとクラウドではどちらの方が安全？

以前まではネット接続なしで利用できるオンプレミスが安全というのが一般的な認識でしたが、近年ではその認識も変わりつつあります。

その背景にあるのは、クラウドサービス全体の安全性の向上です。クラウドサービスの提供会社は多くの企業にサービスを提供する過程で様々な企業の定めるセキュリティ要件を満たすことが求められました。その結果、クラウドサービスでは様々な安全対策が施されるのが一般的となり、以前のような情報流出やデータの喪失はごくまれなケースとなりました。

また、こうした流れとは別に国から各業界に対して高いセキュリティ要件が求められるようになったことも関係しています。

例えば、経済産業省の主導する「クレジット取引セキュリティ対策協議会」では、クレジットカード情報の漏洩事故対策としてEC加盟店に対して、2018年までに「PCI-DSS」という国際統一基準に準拠することを求めました。それに対応する形で多くのクラウドサービスでも「PCI-DSS」に準拠したオプションを提供するようになり、安全対策がより一層進むようになりました。

こうした取り組みの結果、2018年に内閣官房IT総合戦略室が発行した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」では、クラウドサービスを利用するメリットとしてセキュリティ面での安全性が挙げられるようになりました。同資料では、多くの情報システムではオンプレミスでシステムを構築するよりも、クラウドを利用する方が効率的にセキュリティレベルを向上させられると解説しています。

安全なクラウドサービスを選ぶ上で押さえておくべきポイント

クラウドサービスでは情報システムの保守や管理、運用をサービス提供会社に一任することになるため、セキュリティ対策が万全な業者を選ぶことが大切です。総務省の運営する「国民のための情報セキュリティサイト」では、安全なクラウドサービス提供業者の選び方として以下の基準を満たすことを挙げています。

クラウドサービス提供事業者が行うべき情報セキュリティ対策

• 災害対策や物理的な侵入対策などのデータセンターの物理的な情報セキュリティ対策
• データのバックアップ
• ハードウェア機器の障害対策
• 仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性（ぜいじゃくせい）の判定と対策
• 不正アクセスの防止
• アクセスログの管理
• 通信の暗号化の有無

出展：総務省 安心してインターネットを使うために 国民のための情報セキュリティサイト「クラウドサービスを利用する際の情報セキュリティ対策」

上記の項目は必ずしもすべての項目を満たす必要はなく、利用するサービスによって必要な項目やレベルが異なります。実際に契約を結ぶ際には、契約内容や規約からサービス条件などをよく確認することが大切です。

また、「ISO 27001」や「PCI-DSS」、「SOC」などの第三者機関認証を取得するなど、各業界で求められる業界標準規格に準拠しているかも合わせて確認しておくようにしましょう。

利用者側でできる安全対策

近年ではクラウドサービス自体の安全性が高まりましたが、情報流出などの事故を防ぐためには、利用者側の安全対策も欠かすことができません。

最も基本的かつ重要な対策はIDとパスワードの管理です。メモなどを残さないことはもちろん、定期的にパスワードの変更を義務付けたり、ワンタイムパスワードの導入などを検討するのも良いでしょう。

可能であれば、クラウドサービスを導入する前に社内で情報をどのように扱うのかを定めた情報セキュリティポリシーを作成しておき、社内で浸透させておくようにしましょう。

また、通信データを暗号化しておくことも重要です。

サーバ側でいくら対策を施していても、データをやり取りする過程で通信を盗聴される可能性があるため、外部から見られないようにするための対策が必要となります。SSLやSSHなどの方法でウェブページを暗号化するようにしましょう。また、公共の無線LANは通信が暗号化されていなかったり、されていても強度が不十分なことも多いため、社員には使わないように呼び掛けましょう。

また、利用者のOSが外部から何らかの攻撃を受けるといったことも考えられます。SQLインジェクションやクロスサイトスクリプト攻撃などの攻撃に備えるためにもアンチウイルスソフトを必ず導入するようにしましょう。

まとめ

クラウドサービスは、ネット接続でデータをやり取りするため、サービス提供者が管理するデータセンターの不具合やシステム障害などによってデータ消失や流出が起こる可能性があります。また、IDとパスワードがあれば、どこからでもアクセスできる関係上、管理者の想定していない端末からのアクセスにも注意しなければなりません。

これらのリスクがあるため、以前まではオンプレミスの方が安全性が高いというのが一般的な認識でしたが、近年ではその立場も逆転しつつあります。

クラウドサービスを安全に利用するためには、「国民のための情報セキュリティサイト」が提唱する「クラウドサービス提供事業者が行うべき情報セキュリティ対策」で挙げられているポイントを満たしているかを確認し、利用者側でも安全対策を講じることが肝心です。