総務省の令和5年情報通信白書によると、日本国内の企業の内72%以上が業務上で何らかのクラウドサービスを利用しており、この数値は年々上昇しています。
クラウドサービスは事業を支えるインフラとなり、もはや業務に欠かせない存在になっています。
ただし、クラウドサービスに特有のセキュリティリスクの存在も無視できません。
ネットワークを介してサービスが提供されているため、情報漏えいやサイバー攻撃のリスクは付きまといます。
本記事では、クラウドサービスを利用するあらゆる方に向けて、クラウドサービス利用上のセキュリティについてご紹介します。安全なクラウドサービス利用の参考にしていただければ幸いです。
また、クラウドサービスを含めたDXにおける情報セキュリティの効果的な取り扱い方がわかる資料を無料で配布しています。ぜひご活用ください。
クラウドサービスについておさらい
クラウドサービス(正式名:クラウド・コンピューティング)とはデータやソフトウェアがネットワークを経由して利用できるサービスのことです。
そうではなく、システム稼働に必要な設備(サーバ、ネットワーク機器、ソフトウェア等)を組織で保有・運用している形態のことをオンプレミスといいます。
クラウドサービスではそういった設備にかかるコスト・リソースが外部化されるため、気軽に使い始められるのが特徴です。
また、クラウドサービスには、サービス利用者が一組織のみであるプライベートクラウドと、多くの組織が利用するサービスであるパブリッククラウドの2種類ありますが、本記事では後者を主に扱います。
クラウドサービスのセキュリティリスクとは
クラウドサービスを利用する場合、サービスの提供者にデータを預けることになります。そこには、組織外に漏えいしてはならない機密情報や顧客の個人情報も含まれるかもしれません。
クラウドベンダーも一定のセキュリティ対策を施してはいますが、インターネットを経由する以上、100%安全なセキュリティ対策は存在しません。
むしろ、多くの組織の情報が蓄積されたクラウドサービスはサイバー攻撃の標的になりやすいという考え方もできます。
また、例えば、データアクセス権限の誤設定やサービスURLの誤送信等といった、従業員の不注意によるセキュリティ事故もあります。
クラウドサービスの利用によるリスクには下記が挙げられます。
- 情報の漏えい
- データの消失・改ざん
- 不正アクセス
- サイバー攻撃
情報の漏えい
インターネットを通じたツールですので、ちょっとした誤操作や設定の不足でかんたんに情報が漏えいしてしまうことが考えられます。
また、クラウドベンダーにおける内部不正の可能性もあります。
データの消失・改ざん
災害によるサーバなどの設備の損壊や、悪意ある第三者による攻撃、ベンダー・利用者いずれかの誤操作など、何らかの理由によってデータが消失したり、改ざんされたり、といったことが考えられます。
不正アクセス
クラウドサービスはインターネットを通じてアクセスが可能ですので、その分、悪意ある第三者が不正アクセスをするというリスクも存在します。
IDやパスワードといった認証情報が悪用されて不正アクセスにつながる場合もありますし、マルウェアを仕込まれる可能性もあります。
サイバー攻撃
クラウドサービスのベンダーがサイバー攻撃を受けるかもしれません。
もちろん、サイバー攻撃をきっかけとして、データの漏えい・流出、消失・改ざんが発生することもあります。
クラウドサービスのリスクに対するチェックポイント
クラウドサービスでは、サービスのベンダーと利用者それぞれに行うべきセキュリティ対策があります。
ベンダー側で行うべき対策
- 通信の暗号化
- 基盤、アプリケーションの脆弱性対応
- ユーザー側でのクラウドサービス利用管理のための仕組みの提供
- システム側でのバックアップやリカバリの仕組みづくりなど
利用者側で行うべき対策
- クラウドサービス利用のための設定
- セキュリティソフトの利用
- IDとパスワードの管理
- OSやソフトウェアのセキュリティ更新の適用など
セキュリティ対策の重要な考え方として、最小権限の原則というのがあります。
情報資産へのアクセスについては、たとえ組織のメンバーであっても必要な人に必要な権限だけを与える、それ以外のアクセスは許可しない、というものです。
また、セキュリティソフトのインストールも効果のある対策です。
マルウェア感染防止、不正サイトへのアクセス防止、標的型攻撃メール対策、といった基本的なセキュリティ対策とあわせて実施しましょう。
セキュリティ対策を適切に更新するために
サイバー攻撃や不正アクセスの手段は年々巧妙化し、近年ではAIの発達も手伝って、どんどん新たな脅威が生まれてきています。
最新のセキュリティ対策に関する情報は、官公庁や信頼できる機関などから知ることができます。以下に、代表的なセキュリティ対策の情報源を紹介します。
クラウドサービスのセキュリティ対策はISO27017の取得がおすすめ
クラウドサービスの利用に関するセキュリティ対策により一定のセキュリティレベルを保つには、継続的な対策を行うための仕組みが必要となります。
この継続的なセキュリティ対策の仕組みとして広く普及しているのがISMSの構築です。
ISMS(情報セキュリティマネジメントシステム)は、情報セキュリティにまつわる国際規格ISO27001に準拠したマネジメントの仕組みで、これを構築しISMS認証を取得することで、組織の情報資産管理を盤石にできるだけでなく、組織のセキュリティを対外的に示すことも可能です。
そして、ISMSからさらにクラウドサービスに特化した規格がISO27017です。
組織のクラウドサービス提供/利用におけるセキュリティ対策を管理するマネジメントシステムの認証で、この規格に対応したシステムの構築・運用によってクラウドセキュリティの確保が可能です。クラウドサービスを提供する立場としても、利用する立場としても取得が可能です。
一点だけ注意が必要なのですが、こちら、ISO27001認証のアドオン認証、すなわち、ISO27001に基づくISMSの構築を前提としています。
詳しくは弊社コンサルタントによるブログ記事がわかりやすいので、ご参照ください。
LRMのISO27017コンサルティングサービス
LRMのISO27017コンサルティングサービスでは、貴社でしっかり運用できる認証取得を心がけ、適用範囲から審査指摘事項対応まで親身にお力添えします。
- 主要文書はすべて弊社が作成
- 訪問回数無制限
- 認証取得100%
まずはお気軽にご相談ください。
その他クラウドサービスのリスクに対するチェックポイント
クラウドサービスは利便性が高く、業務を効率化する上で今や欠かせないものですが、先述の通りセキュリティリスクが無視できません。
ただ、なるべくなら快適にクラウドサービスを使って業務に臨みたいものですよね。そこで、クラウドサービスで先述したリスクを少しでも下げられるように見るべき「チェックポイント」を紹介します。
- 適切にセキュリティ対策を行っているか
- サービスの安定性が高いか
- 自組織に必要十分なサービスを提供しているか
それぞれ解説するので参考にしてみてください。
適切にセキュリティ対策を行っているか
自組織にとって必要なセキュリティの水準はどれくらいか、どこまでセキュリティにコスト・リソースを避けるのか、を勘案してサービス検討しましょう。
セキュリティ対策を盤石にすることはもちろん重要ですが、そればかりにとらわれて業務効率の低下やコストの肥大化を招いては元も子もありません。情報セキュリティは本来業務効率を支えるものです。
サービスの安定性が高いか
意外と見落としがちなのが、サービスの安定性です。気になっているサービスの提供元が、過去に重大な障害を起こしていないかなどの実績を確認しましょう。
また、クラウド サービスの安定性の基準として「稼働率」というのがあります。これはシステムが正常に稼働した時間の割合を示す数値です。
サービス品質保証(SLA)という名目で、稼働率を公開しているサイトもあるため、利用を検討しているサービスに関しては公式サイトでサービスの安定性が高いかどうかを確かめましょう。
必要なサービスを提供しているか
クラウドサービスを代表する3つのサービスとして、下記が挙げられます。
- AWS(Amazon Web Services)
- Microsoft Azure
- Google Cloud Platform(GCP)
それぞれに、下記の特徴があり、サービスによって得意な分野が異なるため、その特徴と自社のシステムが適しているものを選ぶことで、開発の自由度を確保しやすくなります。
- AWS → 歴史が長く事例多数で万能
- Azure → システム開発や運用に特化
- GCP → ビッグデータ解析/機械学習に強い
これも最小権限の原則に似た話ですが、自社で持て余す(≒放置する)要素は、あればあるだけリスクです。また、単純に無駄なコストでもありますので、ここはしっかり押さえておきましょう。
まとめ
組織の業務において、クラウドサービスは利便性が高く、欠かせない要素となっています。しかし、その裏返しとしてセキュリティリスクも存在しています。
快適にクラウドサービスを使って業務するために適切なセキュリティ対策を実施し、必要に応じて ISO27017の認証も活用しましょう。
弊社では、ISO27017の規格における管理策が一覧でわかる資料を無料で配布しています。ぜひご覧ください。
