クラウドを利用する上でのセキュリティ対策を徹底していますか？

　クラウド環境に移行すればユーザーは何もしなくてよいと考えるのは危険な兆候だ。特に、セキュリティ対策に関しては、事業者の取り組みを監視・管理するというクラウドユーザーが果たすべき責務が存在する。

▼ ハイライト
1. クラウド事業者と利用者で責任範囲を明確にすること
2. 事業者選定、環境構築、システム運用時の検討ポイント
3. 終わりのないセキュリティ対策

1. クラウド事業者と利用者で責任範囲を明確にすること

　クラウド環境の利用にはセキュリティへの配慮が欠かせない。従来オンプレミスで運用していたシステムをIaaS環境に移行すると、コスト最適化や柔軟性の向上といったメリットを享受できる。一方で、クラウド事業者が提供するサービス条項に従わなければならないため、自社の要件に合致するか検討が必要になる。特に、機密データの取り扱い方や、クラウド環境を利用する際のセキュリティポリシーの策定に課題を抱える企業は多い。

　Safenet社の調査によると、70%のIT担当者はオンプレミスに比べて、クラウド環境でのプライバシー管理やデータ保護の統制管理はより複雑になったと感じている。特に、Eメール、消費者や顧客データ、支払い情報などのクラウド上に移管したデータにリスクがあると回答した。「自社で現在利用しているクラウドのアプリケーション、プラットフォーム、インフラサービスすべてを確実に把握している」と回答した企業は19%に過ぎず、場当たり的に導入されたシステム群がクラウド環境での統制管理をより困難なものにしている。

　約半数の企業では、クラウド上で管理しているデータへのエンドユーザーのアクセスを制御、制限することはより難しいと回答した。そのため、79%のIT担当者は機密情報を暗号化するといったセキュリティ対策が今後ますます重要になると考えている。管理されていない情報端末をエンドユーザーが勝手に使用する「シャドーIT」の問題と共に、機密情報を何処にどう保管し、誰が何を利用できるかを明らかにする必要がある。

　データセキュリティについては責任の所在がはっきりしないという問題がある。IT担当者のうち35％はクラウドの利用者とサービス提供者の共同責任であると答え、33％はクラウド利用者の責任、32％はサービス提供者の責任だと考えている。利用者と提供者の間でデータを共有しているという流れを考えれば、どちらか一方へ責任を押し付けるのは現実的ではないだろう。どの作業をどちらが担当し、どのような責任を負うのかを明確にし、建設的な議論を深める態度が求められる。

図 1. クラウドユーザーが行うべきセキュリティ対策

2. 事業者選定、環境構築、システム運用時の検討ポイント

　クラウド環境だからといって、セキュリティ対策を丸投げしてはいけない。ユーザー企業はクラウド事業者を公正に評価し、自社の要件に合致しているか確認する作業が欠かせない。事業者選定時、環境構築時、システム運用時でそれぞれ、作業が発生する。

　事業者選定時にはクラウド事業者がセキュリティの取り組みについて十分に情報開示を行い、自社の要件に合うレベルのサービスを提供している実績を確認するべきだ。ISO27001（ISMS）、ISMS認証（ISO27001）、経済産業省のチェックリスト等に見られるように、第三者機関の評価を用いると公正な評価が行える。また、医療業界のデータ保護に関する法令である「HIPPA」やEU地域でのプライバシー保護を規定する「EU Data Protection Directive」など特定の法令に対する要件もあるだろう。そして、国外にデータを保存できない場合は、データセンターの所在地についても確認しなければならない。

　環境構築時には仮想化したコンピューティング環境におけるセキュリティ対策を実装する必要がある。ストレージの暗号化やデータに対する認証・認可の仕組みが基本になるだろう。VPN接続やファイアーウォールの設定などのネットワーク設定も重要だ。他にも、システムの変更管理、ログ監視、アプリケーションの脆弱性対策なども抑えておきたい。さらに、クラウド事業者の中での管理者権限についても確認する必要がある。管理者アカウントの整備、適切な権限範囲、退職時の運用などを徹底し、機密性の高い情報へのアクセスを制御する。

　システム運用時では、あらかじめ設定したセキュリティレベルが保たれていることを定期的に確認するとよい。サイバー攻撃の検知や、不正アクセスの監視など、セキュリティ対策は不断の努力が要される。問題が起こった際に、適切に情報共有し、最適な初動対応がとれるようにするプロセスも重要だ。運用段階では、自社内の社員とのコミュニケーションにも気を配りたい。クラウド環境に保存するべきデータとそうでないものの区別方法、パスワードの設定・管理方法の徹底、セキュリティに関する定期的な社員教育など、情報システム部門が果たすべき役割は大きい。

3. 終わりのないセキュリティ対策

　セキュリティ対策に終わりはない。どんなに対策をとっても、新たなコンピュータウィルスや攻撃手法が現れる。例えば、別のシステムから流出したアカウント情報を利用して不正ログインを試みるリスト型アカウントハッキングという手法が2013年頃から報告された。自社の情報ではなく、他社から流出した情報が使われるため対策が難しく、不正アクセスの検知も難しい。また、情報漏えいのリスクを考えたときに、最も対策が難しいのが従業員による悪意にあるデータ流出である。クラウド環境の利用有無に関わらず、従業員による情報漏えいリスクをいかに低減するかは多くの企業にとっての課題となるだろう。