クラウドセキュリティ|知る×学ぶ
クラウドセキュリティとは?クラウド利用におけるセキュリティリスクと対策方法
日本でも普及が進んでいるクラウドサービス。自社でハードウェアを用意する必要がなく、運用管理の手間もかからないことから、利便性が高くコストシミュレーションがしやすいといった大きなメリットがあります。
しかしながら、企業がクラウドサービスの利用をためらう理由の一つとしてよく挙げられるのが情報セキュリティ面でのリスクです。そのため、クラウドサービスの提供者側でもセキュリティ面に注力しています。
それでもなんとなくある不安。結局、ユーザーはクラウド利用時の情報セキュリティにおいて、何に注意すれば良いのでしょうか?
本コラムでは、クラウドサービスの利用において求められる情報セキュリティ対策について、オンプレミス環境と比較しながらご紹介します。
▼ 目次
・クラウドセキュリティとは
・クラウドセキュリティの課題
■クラウドセキュリティとは
クラウドセキュリティとは、クラウド環境、クラウドサービスを利用する際に必要になる情報セキュリティを指します。厳密にいえば、クラウドにもプライベートクラウドのようなオンプレミス型が存在しますが、本稿ではオンプレミス型を除くクラウド環境を指して「クラウド」と表記します。
クラウド環境で求められるセキュリティを考える際に知っておきたいのが、オンプレミスの場合とクラウド(IaaS、PaaS、SaaS)の場合とでのサービス提供者とユーザー企業の責任範囲の違いです。企業がクラウドを利用する際には、ユーザー企業として責任を有している対象範囲についてセキュリティ対策を講じる必要があります。
オンプレミス環境で必要となるセキュリティ
オンプレミス環境では、ハードウェアもソフトウェアも、これらの運用管理や保守対応も、全て自前で用意し、社内等の設置場所を用意し、運営を行っていくことになります。このため、外部からのサイバー攻撃等を受けにくく、高セキュリティだとされてきました。
企業のすべてのIT資産はセキュリティ対策を講じる必要がありますが、オンプレミスでは多くの場合、全てのリソースが社内にあることからセキュリティ対策も社内のみを考えれば良く、その分、コントロールもしやすいと考えられます 。社内システムを守るためのセキュリティソリューションも、オンプレミス型を選ぶことでカスタマイズ性が高く、自社の求める要件を実現しやすいといえます。従業員がいつ、どのシステムを使用したかといったログを取得・管理するためのログ管理システムも、オンプレミス環境のみを対象としたソリューションは歴史が長く、数多くの種類から選択することができます。
クラウド環境で必要となるセキュリティ
一方、業務にクラウドサービスが利用される場合、基本的にセキュリティ対策はサービス提供者(事業者)に依存します。そのため、セキュリティ対策が不十分なサービスを利用した場合、クラウドサービスそのものがサイバー攻撃を受けて情報漏えい等の危険につながる恐れがあります。
また、社外のサービスにアクセスすることになるため、全従業員の誰がいつ、どのクラウドサービスを利用したかというアクセスログの取得や、そのログを一元的に管理することがこれまでのオンプレミスベースのソリューションでは難しくなります。
このため、情報システム管理者が利用を許可したクラウドサービスであっても、本来は社外への持ち出しが禁じられている重要データがアップロードされても 、管理者側で把握することができず、情報漏えいのリスクが放置されることになります。
管理者側で従業員が利用しているクラウドサービスを把握しようとすると、膨大なネットワークのログからクラウドサービスの利用のログを捕捉することとなり、運用上難しいことから、無許可のサービスなどが利用される「シャドーIT」が生じやすくなります。
かといって、利用できるクラウドサービスやネットワークアクセスを制限しすぎると、従業員の利便性が損なわれ、これもまたシャドーITを誘発してしまいます。
なお、シャドーITを放置することは、マルウェア感染や情報漏えい、企業データの消失や改変につながる恐れがあります。
シャドーITについては、下記の記事もご覧ください。
■クラウドセキュリティの課題
クラウドサービスを利用して業務を行う場合、情報セキュリティにおける次の4つの課題があります。
クラウドサービスの利用状況を把握できない
「クラウド環境で必要となるセキュリティ 」でもお伝えしましたが、従業員が社外ネットワークを経由して利用するクラウドサービスは、どのサービスが利用されているのかを把握することが難しく、さらに、いつ、誰が、どのサービスで、どのようなアクティビティを行ったのかという詳細なログを取得、管理することは非常に難しいです。
もっと言えばと、オンプレミスのシステムと、クラウドサービスの利用状況を一元的に把握・管理することは困難を極めます。
クラウドサービスの利用状況を把握できなければセキュリティリスクも把握できません。そのため、常に潜在的なリスクを抱えている状態となります。
サービスの安全性を評価できない
管理者が従業員に利用を許可するクラウドサービスを選定する場合、従業員からクラウドサービスの利用希望があった場合、従業員が未許可のクラウドサービスを利用していることが発覚した場合などは、クラウドサービスの安全性を評価し、自社のセキュリティポリシーと照らし合わせて利用の可否を判断する必要があります。
しかし、クラウドサービスごとに設定されているセキュリティ基準が異なると、統一のセキュリティポリシーのもとで安全性を評価したり比較したりすることができず、従業員に対しても明確な基準を示すことができません。
ユーザーのアクティビティ制御ができない
たとえ、従業員に利用を許可したクラウドサービスであっても、アクティビティを無制限に許可することはリスクがあります。たとえば、個人情報や機密情報、インサイダー情報など、情報漏えいにより重大な被害が想定される情報は、アップロードを禁止するといった対策が求められます。
しかし、こうしたアクティビティの制御は、クラウドサービスごとに個別に設定しなければならず、作業が煩雑になります。
また、アクティビティによるアラート通知が欲しいと考えても、クラウドサービスによっては実装されていないケースがあります。
クラウドサービスに仕掛けられた脅威から情報を保護できない
クラウドサービスの利用においては、従業員の操作ミスや内部不正による情報漏えいリスクのほか、サービス自体のセキュリティが脆弱なために外部から情報を改ざんされるリスク、悪意のある運営者が提供するサービスを利用したことでファイルにマルウェアを仕込まれるなどのリスクもあります。
こうしたリスクへの対策手段を講じている企業は少なく、脅威から情報を防御することができません。
クラウドサービスの利用におけるセキュリティ対策方法
ここまでにお伝えしてきたようなクラウドサービスを利用するにあたっての特有の悩みを解消するためには、最低限次の3つの対策を講じる必要があります。
ユーザーの管理を徹底する
まずは、従業員の情報セキュリティに対する意識を高めることが必要です。改めて、自社のセキュリティポリシーを周知し、安全なクラウド利用のための研修を実施することも良いでしょう。
その上で、従業員の各クラウドサービス利用時に使用するIDとパスワードを、推測されにくいものに設定するように促し、ID・パスワードが漏えいしないように、ユーザー側でできる対策を講じましょう。メールなどから漏えいするケースもあるため、標的型メール攻撃に対する訓練などを実施するのも良いでしょう。
また、ユーザー情報(IDなど)そのものを管理者側でしっかり管理することも重要です。たとえば、退職者のIDを放置していると、悪用される恐れもあるため、IDのライフサイクル管理を徹底することも必要 です。対策のためのソリューションとしては、クラウド上でID管理を行うIDaaSなどが提供されています。
通信の暗号化
社外のネットワークからの通信、および、社内ネットワークの通信を暗号化することで、悪意のある第三者に業務上のやり取りの内容を盗み取られ情報漏えいすることを防ぎます。
これまで利用されてきた通信暗号化技術としてはSSLやVPNといったものがあり、それらはセキュアであるとされてきましたが、サーバー上で一度複合化されるという弱点があります。より機密性を求められるセンシティブな顧客情報、資産やヘルスケアといった個人情報を取り扱う場合には、さらにセキュアなP2PEやE2EEなどの導入を検討しても良いでしょう。
ログ情報の管理
情報セキュリティ対策において、アクセスログの記録・保管・管理は非常に重要です。
外部からの不正アクセスやウイルス感染により、組織内部からの情報漏洩等の事故が発生してしまった場合、そのことにいち早く気づき、被害状況や影響範囲の調査などの事後対応を効果的に行うためには、ログ(通信記録)の取得と保管が重要になります。
アクセスログを管理することで、従業員がいつ、どのクラウドサービスにアクセスしたかを把握することが可能になり、シャドーITを見つけ出すことも容易になります。
■クラウドサービスの利用におけるセキュリティ対策のまとめ
クラウドサービスを業務で利用する際には、ネットワークをはじめとする社外の情報資産を利用することを念頭に、従業員のセキュリティ意識の向上や、ID・パスワード管理、アクセスログの記録・保管・管理が重要になってきます。
しかし、こうしたセキュリティ対策をクラウドサービスごとに設計・設定することや、セキュリティソリューションを機能ごとにバラバラに導入すると、金銭コストもかさみますし、各ソリューションの運用管理にも手間と労力がかかってしまいます。
そこで、これらをカバーできる統合型のセキュリティソリューションが求められます。
伊藤忠テクノソリューションズでは、クラウドサービスを中心にオンプレミス環境のアプリケーションもカバーできるSASE(Secure Access Service Edge) ソリューションである「Netskope」の販売・導入支援を行っております。
「Netskope」には、CASB(Cloud Access Security Broker)、ZTNA(Zero Trust Network Access)、次世代SWG(Secure Web Gateway)、DLP(Data Loss Prevention)、SSPM/CSPM(SaaS/Cloud Security Posture Management)、Cloud Firewall、SD-WAN(Software Defined-WAN)といった機能がひとつに統合されています。そのため、これ一つでセキュアかつ運用効率の良い業務環境を実現できます。
「Netskope」の詳細については、こちらのページをご覧ください。
