「コストが安い」「管理が簡単」など、様々なメリットがあり、利便性も高いため、急激にその利用者を増やしているクラウドサービス。
ですが、クラウドサービスを利用するリスクも多数存在します。
そのための備えができていないと、「データが消えてしまった」などの取り返しがつかない状況になるかもしれません。
今回は、そんなクラウドサービスを使う上でのリスク。さらにその種類や対策を具体的に解説します。
企業のセキュリティ対策をお考えの方へ。LRMでは企業がやるべきセキュリティ対策をまとめたチェックリストをまとめた14分野30項目のチェックリストを無料で配布しています。
クラウドサービスについておさらい
クラウドサービス(正式名:クラウド・コンピューティング)とは、離れた場所で動くコンピューターを、インターネットを介して利用するサービスです。
システムの稼働などに必要となる、サーバー、ネットワーク機器、ソフトウェアなどを自社で保有し、システムを運用している「オンプレミス」とは違い、自社でサーバー類を保有せず、他社が提供しているものを利用してシステムを運用しているのが特徴です。
クラウド・コンピューティングを利用したサービスのことを、一般的に「クラウド」「クラウドサービス」と呼びます。
クラウドサービスのリスクとは
高額なサーバーやネットワーク機器、ソフトウェアを自社で保有しなくてよいクラウドサービスですが、利用するにあたり、
- 開発の自由度が低くなる
- セキュリティリスクが高まる
- 使用しているアカウントが悪用される
- クラウドサービスに障害が発生する
- クラウドロックインが発生してしまう
- 障害などによりデータが消失する
- 預けているデータが外部に漏洩する
というリスクがあります。
それぞれ1つずつ解説します。
開発の自由度が低くなる
クラウドサービスでは、サーバーの性能などがサービスの提供元に依存してしまうため、オンプレミスよりも開発の自由度が下がってしまいます。
「このクラウドサービスで実現したいシステムを運用できるか」を、事前に確認してから導入しましょう。
セキュリティリスクが高まる
クラウドサービスでは「提供元が管理するサーバー」にデータを保存します。
つまり、クラウドサービスに保存したデータは、インターネット経由で利用するため、「情報漏洩」「不正アクセス」のリスクが高まってしまいます。
利用するクラウドサービスがどんなセキュリティ対策をしているか、事前に確認しておくことが大切です。
使用しているアカウントが悪用される
クラウドサービスを利用するということは、IDやパスワードを使ってログインする工程を挟みます。
万が一、その情報が盗聴されてしまったり、流出してしまうと不正アクセスによって情報が漏洩するリスクがあります。
使用しているアカウントが悪用されてしまうと、会社に与えるダメージははかり知れません。
インターネットを介する以上、このリスクが完全に0にできないということは、理解しておきましょう。
クラウドサービスに障害が発生する
クラウドサービスでは、他社のサービスに依存しているため、提供元で障害が発生してしまった場合、自社のシステムも自ずと運用できなくなってしまいます。
クラウドサービスで障害が起こる頻度は、それほど高くありませんが、障害が原因でサービスが止まる可能性を踏まえ、クラウドサービスの機能で「システムを複数に分散させる」などの対策をしましょう。
クラウドロックインが発生してしまう
クラウドロックインとは、特定のクラウドサービスに、企業のシステムが縛られていることを指します。
プライベートで撮影した写真や動画のデータの保管に、無料で使えるクラウドサービスを使っている方は多いでしょう。
例えば、特定の会社のクラウドサービスにデータを大量に保存していた際、他サイトの移行が困難になります。
そんな中、そのクラウドサービスが「利用料金が大幅アップ」「サービスの終了」などといった事態に陥ったときに、システムの運用に重大な影響を与えてしまいます。
そんなリスクに対応できるように、マルチクラウドストレージを利用して、データ保存に複数のクラウドを利用することが望ましいです。
障害などによりデータが消失する
クラウドサービスの障害で最悪のケースは、その障害によりクラウドサービスに保存していたデータが全て消えてしまうことです。
もし、そこで顧客情報など、業務に使われている重要なものが焼失してしまった場合、企業にとって大きな損失となるでしょう。
クラウドサービスだけでなく、別のシステムや自社のサーバーにも、バックアップを取るなど、データの復旧がしやすい状況を構築しておきましょう。
預けているデータが外部に漏洩する
自社のシステムではなく、クラウドサービスの提供元に対しサイバー攻撃が仕掛けられ、不正アクセスによる情報漏えいが起きる可能性があります。
利用しているクラウドサービスがどんなセキュリティ対策をしているのか、万が一の時にどんな保証が行われているのかなどを、事前に確認しておきましょう。
クラウドサービスのリスクに対するチェックポイント
クラウドサービスのリスクについて解説しました。
想像以上に、リスクが多いと感じたのではないでしょうか。
ですが、だからといって、クラウドサービスを利用してはいけないというわけではありません。
次に、クラウドサービスで先述したリスクを少しでも下げられるように見るべき「チェックポイント」を紹介します。
- 必要なサービスを提供しているか
- 適切にセキュリティ対策を行っているか
- サービスの安定性が高いか
それぞれ開設するので参考にしてみてください。
必要なサービスを提供しているか
クラウドサービスには
- AWS(Amazon Web Services)
- Microsoft Azureシステム開発
- Google Cloud Platform(GCP)
などがあります。
それぞれに、
- AWS → 歴史が長く事例多数で万能
- Azure → システム開発や運用に特化
- GCP → ビッグデータ解析/機械学習に強い
のような特徴があり、それぞれのサービスによって得意な分野が異なるため、その特徴と自社のシステムが適しているものを選ぶことで、開発の自由度を確保しやすくなります。
適切にセキュリティ対策を行っているか
どんな仕様で、セキュリティ対策がされているかも重要なチェックポイントです。
- データの暗号化はされているか
- サイバー攻撃の対策はあるか
など、その施策をみて自社の基準を満たしているか確かめる必要があります。
また、クラウドサービスには大きく分けて2種類のタイプがあります。
それは、
- パブリッククラウド
- プライベートクラウド
です。
「パブリッククラウド」は、他の利用者と同じクラウド環境を共有するタイプで、「プライベートクラウド」は、他の利用者と共有せず、自社のシステム専用で利用できるタイプです。
専用で利用できる分、セキュリティが高いのでプライベートクラウドを使うことが望ましいですが、コストもパブリッククラウドよりも高くなってしまいます。
「必要なセキュリティの水準はどれくらいか」「どこまでコストが割けるか」を考えつつサービスを選択しましょう。
サービスの安定性が高いか
意外と見落としがちなのが、サービスの安定性です。
気になっているサービスの提供元が、過去に重大な障害を起こしていないかなどの実績を確認しましょう。
また、クラウド サービスの安定性の基準に「稼働率」という項目があります。
稼働率は、システムが正常に稼働した時間の割合を示す数値です。
サービス品質保証(SLA)という名目で、稼働率を公開しているサイトもあるため、気になっているサービス提供元の公式サイトで、サービスの安定性が高いか確認してみましょう。
クラウドサービスのセキュリティリスク対策をするには
クラウドサービスを選ぶためのチェックポイントについて紹介しました。
ですが、これはあくまでどんな提供元を選べばよいかの指標であり、セキュリティ対策とは言えません。
これを踏まえ、自社ではクラウドサービスでどんなセキュリティ対策をすればよいのかを解説します。
クラウドサービスのセキュリティリスク対策にはCISベンチマーク
CIS(Center for Internet Security)ベンチマークとは、システムを安全に構成するための構成基準を示したガイドラインです。
クラウドサービスの他にも
- PC
- サーバー
- ネットワーク機器
- データベース
などの製品や、サービスに対してバージョンごとに詳細なパラメータが定められています。
ガイドラインはこちらのページで公開されています。
ISO27017の取得も有効
「ISO27017」とは、クラウドサービスを提供、もしくは利用するうえで適用されるクラウドセキュリティの第三者認証です。
様々なクラウド上のリスクへの備えを示したガイドラインで、クラウドサービスのセキュリティ対策を実現するうえで必要不可欠な存在です。
ISMS(ISO27001認証)構築に検討したリスク対策の管理策に加え、最大で79個もの管理策を検討し、ISO27017の枠組みに従って情報セキュリティ体制を構築することで、クラウドサービスをより安全に提供/利用することが可能になります。
LRMのISO27017コンサルティングサービス
「ISO27017を取得するのが良いのはわかったけど、難しそう……」
「時間がかかって大変そう……」
そんな方にはコンサルティングサービスがおすすめです。
LRMが行っているコンサルティングサービスでは、実績と経験が豊富なコンサルタントが、クラウドセキュリティ認証を取得する範囲を検討するところから親身に相談に乗りつつ、検討し決定。
ISO27017の認証取得に必要な文書の作成や見直しは、全てLRMが実施するため、業務に置ける負担を極限まで減少させることができます。
ISO270017を取得するためのコンサルティングサービスで、コンサルティング実績は2,300社以上にのぼります。
- 訪問回数制限なし
- 100%取得保証
- 主要文書は全て作成
など、他社にはない手厚い対応で、ISO270017のスムーズな取得をお約束します。
少しでも気になった方は、こちらよりお問い合わせください。
まとめ
クラウドサービスのリスクについて紹介いたしました。
便利なクラウドサービスですが、リスク対策をしないと情報漏洩やデータ紛失など、企業の信頼を落としかねないリスクと隣り合わせです。
万が一に備え、セキュリティ対策を怠らないように高い意識を保っていきましょう。