企業が行うべきクラウドサービスのセキュリティ対策とは
最終更新日:2020年11月14日
現在、インターネットを介してアプリケーションを利用するクラウドサービスの活用が進んでいます。企業はクラウドサービスを利用することによって、運用負荷の軽減やスピーディな業務展開など、生産性の向上が期待できます。
クラウドサービスを利用するうえで、企業は重要なデータを守るためにどのようなセキュリティ対策をしていけばよいのでしょうか。これから、クラウドサービスにおけるセキュリティ対策について説明します。
クラウドサービスのセキュリティリスクとは
ユーザーのデータをクラウド上に保存できるサービスやデータの共有や反映がされる情報共有ツールなど、クラウドサービスは広い範囲にわたってサービスが展開されています。 インターネット環境とデバイスがあればどこからでもすぐにアクセスできる点がクラウドサービスの大きなメリットです。その一方、サイバー攻撃や情報漏洩など「アクセスしやすい」点をセキュリティの面から不安に感じるユーザーもいます。
クラウドサービスを有効活用するためには、セキュリティリスクの課題と対策を知っておく必要があります。
不正アクセス・不正ログイン
クラウドサービスはインターネット環境があればどこからでもアクセスすることができます。企業は不正アクセスを排除するため
- ・認証
- ・アクセス制御
- ・アカウント管理
が必要になります。 クラウドサービス提供企業も不正アクセスを防ぐため、様々なセキュリティを設けています。さらにアップデートを重ねて対策をしています。企業側は情報セキュリティポリシーを定め、従業員へ周知と遵守、そして利用端末のセキュリティ確保を行わねばなりません。
システムの運用管理
クラウドサービスはユーザー側の運用負荷を大きく削減できるかわりに、提供側に運用やセキュリティ管理を依存する形になります。ユーザー側は負荷軽減となっていても、データを守る責任に変わりはありません。セキュリティ対策、情報漏洩のリスクを常に意識しておくことが大事です。
データの保全
データの消失対策は最重要ともいえる事項です。サービス提供企業側の障害や不具合、事故、外部からのサーバー攻撃、ユーザーのミスなど、データの消失には様々な原因が考えられます。万が一の事態の対策にデータのバックアップが有効です。サービス提供側も様々なバックアップサービスを行っているので、どのようなバックアップ機能があるのか、事前に確認しておくとよいでしょう。
クラウドサービス利用時に注意すべきこと
ID管理
IDの管理はセキュリティ対策において最も重要だと言えます。不正アクセス対策の設定は主にクラウドサービス提供企業が行っています。しかし、どんなに強固なセキュリティ対策をしていてもユーザー側でIDやパスワードをずさんに管理していては意味がありません。 以下の点に注意してIDの管理をする必要があります。
- ・破られにくいパスワードを設定する
- ・二段階認証を使用する
- ・ID・パスワードの共有をしない
- ・ID・パスワードを記したものなどは厳重に管理する
- ・退職した社員のIDは確実に削除する
退職者はログインできないように処理が必要になります。しかし、退職直後には給与情報や引継ぎ資料などの関係から、再びアクセスしなければならない状況になる場合もあります。すぐには処理をせず、一定期日を置いてから処理作業をすべきでしょう。
定期的パスワード更新の要不要について
「セキュリティ対策のため定期的なパスワード変更が必要」という考えは長らく浸透しており、定期的にパスワード変更を促す通知などがソフトウェア上でも繰り返し行われてきました。しかし、定期的なパスワード変更はセキュリティ対策においてそれほど効果がないということがわかり、これまでのパスワード管理に対する認識の変更が求められています。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもあります。しかし、実際にパスワードを破られアカウントが乗っ取られたり、サービス側からパスワードが流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや使い回しをするようになることの方が、問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
引用:総務省 安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html定期的に何度もパスワード更新を求められた場合、
- ・パターン化し、推測しやすいものにしてしまう
- ・短くしてしまう
- ・複雑なものに設定すると覚えられないためにメモをとり、他にも知れやすくなってしまう
といったセキュリティリスクが起こりえます。
人間がパスワードを設定する際、「わかりやすい」「入力しやすい」ものになりがちです。パスワードの定期的変更そのものがセキュリティリスクになりえると考えられています。
システムやサービスの進化とともに、セキュリティ対策も時代とともに変容します。そのセキュリティ対策が本当に効果的であるのか、検討・確認を怠らず、利用者の意識も変えながら対応していかねばなりません。
通信データの暗号化
インターネット回線があればどこからでも利用できるのがクラウドサービスの利点です。しかし、インターネット回線のセキュリティが脆弱だった場合、その回線から第三者に盗聴されるリスクがあります。そのため、通信データ暗号化の仕組みを利用する必要性があります。
セキュリティ対策として基本的にSSL通信は必須であり、Wi-Fiはフリーのものを避け、WPA2などの高度なセキュリティシステムを利用することをおすすめします。
クラウド型とオンプレミス型のセキュリティ対策
オンプレミス型
オンプレミス型はクラウド型よりも外部から攻撃を受ける可能性が低く、外部からの接触を管理・制限することができます。自社の情報セキュリティポリシーに合わせてのカスタマイズが可能で、セキュリティのリスクはクラウド型よりも軽減されます。また、ネットワークの通信障害や他社からの影響を受けにくいというメリットもあります。
しかし、自社で管理を行うため担当者の負担は大きく、セキュリティ対策の更新も自社で行い、常に最新の状態にしておかねばなりません。
クラウド型
インターネット回線を使用してどこからでも、どんなデバイスからでもアクセスできるというクラウド型の特徴から、セキュリティリスクはオンプレミス型よりも高まります。 クラウドサービス提供企業も高度なセキュリティ対策をしており、メンテナンスやアップデートへの対応は高い水準にあるといえます。
ある程度の水準が保たれているぶん、自社内ユーザーのセキュリティ対策の遵守が求められます。端末機器の管理やロック、アカウントID・パスワードの管理、外部でフリーWi-Fiを使用しないなど、ユーザーのセキュリティに対する意識を向上させることがリスク回避に繋がります。
クラウド型とオンプレミス型のどちらのセキュリティが相応しいかという選定は、自社の業務で利用するデータの重要度やサービス提供企業のサービス内容、アプリケーションなどから考慮します。また、自社の情報セキュリティポリシーを満たすものかを判断する必要があります。それらからリスク評価と対策をリストアップすることで、自社における留意点やメリットが明確になるでしょう。
クラウドサービスを選択して利用する場合、データを預けるサービス提供企業が自社の要件を満たすセキュリティサービスであるか、加えて信頼のおけるベンダーであるかを過去の実績などから慎重に見極めることが重要です。
沖縄県が運用している当サイトは、「IT導入について中立的な立場からのアドバイスが欲しい」方からご好評をいただいております。こちら [https://industlink.jp/guide/]からメンバー登録のうえ、ぜひお気軽にご相談ください。
◆企業一覧
◆ソリューション一覧
◆無料で学べるITセミナー動画
Industlinkの姉妹サイトIndustlink Collegeで先端IT利活用促進事業で開催したセミナー動画が無料で観れます!この機会に、Industlink Collegeへ登録しませんか?
※会員登録、視聴はすべて無料です。
Industlink Collegeはこちら
「数あるソリューションのなかでどれが自社に最適か?選びきれない」などとお悩みの方へ。
沖縄県から委託をうけた事務局が中立的な立場でご相談に対応いたします。お気軽にご相談ください。