クラウドのセキュリティリスクとは?今すぐできる対策5選
2022.10.21(金)
- クラウド
- 運用・セキュリティ
近年、導入する企業が増えているクラウド。
クラウドの導入を検討する中で、情報漏えいやサイバー攻撃、不正アクセスなど、クラウドのセキュリティリスクに関するニュースを見て不安を感じたことがある方も多いのではないでしょうか?
また、自社でオンプレサーバーを運用している場合、オンプレスミス環境と比較してクラウドのセキュリティが気になり、導入を前向きに進められないケースもあると思います。
企業にとってセキュリティ対策は重要なため、クラウド化にあたってセキュリティ面で不安を感じているなら解消しておきたいところ。
そこで本記事では、20年以上サーバー運用やセキュリティ対策に携わり、世界一のクラウドサービス「AWS」のパートナー企業でもある当社が、クラウドのセキュリティリスクとその対策について解説します。
クラウドセキュリティとは?
クラウド(クラウドコンピューティング)とは、インターネットなどを通じて、サーバーやネットワークなどのITインフラ、ソフトウェアといったコンピュータ資源をサービスとして提供する形態のことです。
amazonが提供する「AWS」、Microsoftが提供する「Azure」、Googleが提供する「GCP」といった世界的なサービスのほか、国内でもさくらインターネットが提供する「さくらのクラウド」など、多くの企業がクラウドサービスを展開しています。
そして、クラウドセキュリティとは、クラウド環境におけるセキュリティ対策のことです。
オンプレサーバーを基盤としたITシステムでセキュリティ対策が重要なように、クラウド環境でもセキュリティ対策が必要なのは言うまでもありません。
また、クラウドセキュリティにおいては、クラウドならではのポイントがありますので、クラウド導入を検討しているなら事前に押さえておきましょう。
次項からは、クラウドセキュリティのリスクとその対策を詳しく解説していきます。
クラウドのセキュリティリスクとは
まずは、クラウドを利用する際のセキュリティリスクをまとめます。大きく分けると以下の4つのリスクが考えられます。
- 情報漏洩
- データ消失
- サイバー攻撃
- 不正アクセス
それぞれチェックしていきましょう。
情報漏えい
情報漏えいとは、顧客情報などの大切な情報が外部に流出することです。
ひとたび情報漏えいが起こってしまうと、企業としての管理体制を疑問視され、信頼が失墜します。
流出した内容によっては賠償問題に発展する可能性もあるため、十分な対策が必要です。
クラウドサービスは、多くの場合、インターネットを経由してサービスを利用します。
インターネットがつながる環境であれば、いつでもどこでもサービスを利用できる利便性はクラウドの大きなメリットです。
一方で、インターネット利用中は、常に情報を漏えいする可能性が潜んでいることを認識しておく必要があります。
データ消失
クラウド上で保存・管理しているデータが消失すると、会社として大きな損失となります。このようなデータの消失もセキュリティリスクとしてとらえておく必要があります。
クラウド上のデータが消失する原因として考えられるのは、災害やサーバーの障害によるもの、外部からの不正アクセス、ユーザー自身によるデータの消失、破損などがあります。
物理的なもの、悪意のあるアクセスによる被害、さらには社内のヒューマンエラーも想定してリスクヘッジをしましょう。
サイバー攻撃
サイバー攻撃とは、サーバーやパソコンなどの情報端末に対し、インターネットを通じて、システムの破壊や停止、データの改ざんなどを行う行為です。
クラウドを利用する場合、悪意のある第三者がサイバー攻撃を仕掛けてくるケースも想定しなければなりません。
例えば、サイバー攻撃の1つである「DDoS(ディードス)攻撃」は、サーバーに対して一斉に膨大なデータを送りつけて高負荷状態にし、サーバーを一時的にダウンさせます。サーバーがダウンしてしまってシステムが利用できなくなると、業務に支障が出てしまいます。
また、「ブルート フォース アタック」という、理論的に考えられるログイン情報をすべて入力して、サーバー内に不正にログインしようとする攻撃にも注意が必要です。ログインされてしまうと、サーバー内からデータを持ち出されたり、データを破壊されたりしてしまいます。
不正アクセス
クラウド環境にアクセス権限のないユーザーが、不正にIDやパスワードを入手しログインすることを不正アクセスと言います。
その結果、重要情報を奪われたり、システムが改ざん・破壊されたりする可能性のほか、別のシステムやネットワーク攻撃の踏み台として利用されるなどの被害が予想されます。
その原因は、マルウェア感染によるIDやパスワードの流出、不適切な管理体制による個人情報の流出、アカウントの不正使用が考えられます。
以上のように、クラウドを利用する上で、さまざまなセキュリティリスクがあることを把握しておかねばなりません。
ここまでのセキュリティリスクを踏まえ、「オンプレミスのほうが安全なのではないか」と考える方もいるかと思いますが、そうとも限りません。
続いて、オンプレミスとクラウドのセキュリティ面を比較して紹介します。
クラウドとオンプレミスのセキュリティ比較
オンプレミス |
クラウド |
|
セキュリティレベル |
自社のセキュリティポリシーに準じて高くも低くも設定できる。常にアップデートへの対応が必要 |
クラウドベンダー側で常に更新され、一定以上のセキュリティがいつも保たれている |
データの保管場所 |
自社内、または、データセンター |
クラウドベンダーが管理するデータセンター |
バックアップ |
自社で用意する必要があり、メンテナンスも自社 |
設定や既存の環境の複製で、簡単にバックアップ環境を作れる |
アクセス方法 |
自社内にハードウェアを設置している場合、ローカル環境でシステム構築や運用ができるため、外部からの侵入リスクは少ない |
インターネット経由でアクセスすることが多いことから、相応のセキュリティ対策が必要 |
可用性・災害対策 |
全て自社対応が必要 |
クラウドベンダーが一定の冗長性を確保していることが多いが、サービス提供元によって異なる部分もあるので確認が必要 |
オンプレミス環境は、自社でハードウェアから用意し、環境もセキュリティ対策も思いのままに設定できる反面、全てのメンテナンスを自社にて行う必要があります。その分、コストと時間が掛かります。
対してクラウドは、提供元で基本的なセキュリティレベルを確保しています。
自社でコストや時間をかけることなく、一定の対策が取られた環境を手に入れることができます。
なかでも、世界的企業が提供する「AWS」「Azure」「GCP」といったクラウドサービスのセキュリティ水準は非常に高く、国際的なセキュリティ基準をクリアしているほか、各国のコンプライアンスにも対応。常に最新のセキュリティ対策が取られているので安心です。
また、バックアップなどの対策も構築時に設定でき、環境の複製も容易なため、状況に応じて柔軟な対応が可能なメリットがあります。
自社におけるセキュリティ対策や運用に少しでも不安がある場合や、これから新たなビジネスを始めるような場合は、コストが抑えられる点や、一定水準のセキュリティが保証される点からクラウドをおすすめします。
すぐに始められるクラウドのセキュリティ対策5選
ここまでは、クラウドのセキュリティリスクと、オンプレミスとのセキュリティ面での比較をご紹介しました。
ここからは、これらのリスクを回避するために、すぐに始められるセキュリティ対策を解説します。
- クラウド環境にログインできるユーザー管理の徹底
- パスワード設定や管理に対するセキュリティ対策
- クラウド上のデータをバックアップする仕組みを利用する
- インターネットを使わない専用回線を用意する
- クラウドサービス側のセキュリティ対策を確認
それぞれ見ていきましょう。
クラウド環境にログインできるユーザー管理の徹底
クラウド環境にログインできるユーザーの管理を徹底しましょう。
誰がログインできるかはもちろん、ユーザーごとにクラウド上でできる操作の権限管理も必要です。
退職者や異動などで使わなくなったアカウントはすぐに削除するなど、社内でルールを決めて管理を徹底するとよいでしょう。
また、あらかじめ設定されたIPアドレスからのみクラウドに接続できるよう、IPアドレスによるアクセス制限を行うことも有効です。
パスワード設定や管理に対するセキュリティ対策
クラウドにログインする際のID・パスワードの設定や管理もクラウドセキュリティ対策のひとつになります。
具体的には、大小の英数字や記号を含む8桁以上の強力なパスワードを設定する、毎月や四半期ごどなど定期的にパスワードを変更する、パスワードの管理体制を徹底して流出を防ぐなどの対応を行いましょう。
パスワードを設定する際は、名前・生年月日・数字だけなど、特定されやすいものは避けるのが賢明です。
また、万が一の流出時に被害を拡大させないために、複数のアカウントで同じパスワードを使いまわさないこともポイントです。
クラウド上のデータをバックアップする仕組みを利用する
クラウド上のデータ消失は大きなセキュリティリスクです。そのリスクを最小限にするためには、定期的にデータのバックアップを取ることが有効です。
ほとんどのクラウドサービスでは、万が一データが消失してもすぐに復元できるバックアップの仕組みが提供されていますので、必ず利用するようにしましょう。
インターネットを使わない専用回線を用意する
クラウドにアクセスする場合、インターネットを利用するケースが多くあります。
インターネット上のリスクを徹底して回避したい、という場合は、インターネットを利用せず専用回線を用意するという方法もあります。
この方法は、クラウドサービス側で専用回線を接続できるかどうかの確認や、専用回線を用意する費用と時間がかかりますが、セキュリティリスクを大幅に低減することが可能になります。
セキュリティ対策を重視し、クラウド専用の回線を希望する場合は、専用回線を提供するサービスを用意しているパートナー企業に相談してみましょう。
クラウドサービス側のセキュリティ対策を確認
クラウドは、クラウドベンダーからそのサービスを提供してもらって利用します。
そのため、クラウドベンダーから提供される環境の安全性は、ベンダー側に依存することになるので、クラウドサービス自体が行っているセキュリティ対策を確認し、信頼できる内容か見極めておくことが重要です。
また、サービスを提供するクラウドベンダー側は、多くの場合「責任共有モデル」というものを用意しています。
「責任共有モデル」とは、クラウドベンダーとそのサービスを利用するユーザーが、それぞれの担当範囲を明確にし、運用上の責任を共有するという考え方です。
この内容を理解し、ユーザー側でも適切なセキュリティ対策をすることがクラウドセキュリティでは重要になりますが、残念ながらこれを正しく認識をせずに利用していたユーザーが、想定外のセキュリティトラブルに巻き込まれてしまう事例も散見されます。
こういったトラブルを避けるために、信頼できるパートナー企業によるサポートを受けることも検討しましょう。
セキュリティ対策がしっかりしたクラウドサービスの見分け方
前項の「すぐに始められるクラウドのセキュリティ対策」で「クラウドサービス側のセキュリティ対策を確認」することを対策の1つとしてご紹介しました。
その中でも触れた通り、クラウドのセキュリティ対策は、利用するクラウドサービス側に依存する部分がありますので、提供される環境の安全性をしっかりと確かめる必要があります。
では、クラウドサービスのセキュリティ対策は、どのように見分けたらよいのでしょうか?
総務省「国民のための情報セキュリティサイト」内「クラウドサービスを利用する際の情報セキュリティ対策」より
クラウドサービス事業者が行うべき主要な情報セキュリティ対策について解説していきます。
- データセンターの物理的な情報セキュリティ対策
- データのバックアップ
- ハードウェア機器の障害対策
- 仮想サーバーなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性(ぜいじゃくせい)の判定と対策
- 不正アクセスの防止
- アクセスログの管理
- 通信の暗号化の有無
クラウドサービスを選ぶ際には、クラウドベンダーが上記のようなセキュリティ対策を継続して適切に行っているかを確認して選定する必要があります。
それぞれ見ていきましょう。
データセンターの物理的な情報セキュリティ対策
クラウドサービスといえども、実は、提供する側は物理的なサーバーを用意しています。
それらのサーバーが保管されているデータセンターの場所は、セキュリティ上の観点から基本的には公開されていません。
公開されていても国や都市名など、具体的な場所が特定されない程度にとどめているケースがほとんどです。
このように、場所を特定されないことはデータセンターへの悪意のある侵入者を防ぐ対策の1つです。
また、地震や火事などの災害による物理的な破損対策もデータセンターのセキュリティ対策では重要です。
災害による被害が起きにくい立地、地盤であることや、データセンターの建物が免震・耐火構造であるか、火災に対する消火設備を備えているか、などは押さえておきたいポイントです。
さらに、データセンターは電源がなくては稼働ができません。
電力供給は電力会社に依存する部分が大きいので、何らかの理由でデータセンターが影響を受けることも想定されます。
万が一の電源喪失に備えて、自家発電装置の有無、複数ルートからの受電経路が確保されているか、などの対策が取られているかを確認しましょう。
データのバックアップ
前出の通り、クラウドのセキュリティリスクとして、保管されているデータが消失してしまうことが挙げられます。
その対策として、データのバックアップが手厚いか、複数のバックアップ手段が確保できるかをチェックしておきましょう。
ハードウェア機器の障害対策
クラウドサービスの提供にあたり、クラウドベンダーは物理サーバーなどのハードウェアを使用することから、
それらの機器故障に備えた対策が取られているかも確認する必要があります。
対策例としては「冗長化構成により一方のハードウェアで障害が起きても、もう一方のハードウェアで問題なく稼働できる」、といったものがあります。
ホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
クラウドサービスの基盤である物理的なハードウェアには、それぞれのサービスを提供するうえで必要なOS、ソフトウェアなどが備わっています。それらの脆弱性(ぜいじゃくせい)対応もクラウドサービス側で対策すべき点になります。
脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。
この脆弱性をついたサイバー攻撃を防ぐために、どのような対策を行っているかはセキュリティ上の重要なチェックポイントです。
不正アクセスの防止
インターネットで接続して使うことが多いクラウドサーバーには、不正アクセスのリスクがあります。
クラウドサーバーを提供する側の責任として、ユーザーに提供しているサーバーに不正なアクセスによる被害が出ないようにすることが求められます。
クラウドサービスがどのように不正アクセスを防いでいるかは、事前に確認すべきセキュリティ対策です。
アクセスログの管理
アクセスログとは、サーバーへアクセスしてきた通信の状況を記録したデータのことを言います。
このアクセスログがあることで、万が一、クラウドサーバーでセキュリティ被害・障害などが起こった場合に、素早い復旧と原因究明、原因に対する対応策の実施が可能になります。
これらのことから、クラウドサービスのセキュリティ対策のチェックポイントとして、アクセスログをどのように管理しているか、という点も重要だと言えます。
通信の暗号化の有無
クラウドを利用する際には、インターネットを介してさまざまなデータの送受信を行います。
このデータの送受信を悪意のある第三者が、盗聴やなりすましなどによって狙っていることがあります。
そのようなリスクを避けるのが通信の暗号化です。
データが悪用されることを防ぐために、クラウドサービスにおける通信の暗号化の有無をチェックしておくと安心です。
クラウドサービスを提供する各社も、ユーザーのデータを守り、安全に利用できるよう、ここまで紹介してきた7つのポイントをはじめとするセキュリティ対策には特に力を入れて取り組んでおり、その安全性は日々高まっていると言えます。
ただし、その内容や特徴には違いがあることが想定されますので、クラウドサービス側が公表しているセキュリティ対策情報や規約などを確認しましょう。また、自社が求めるセキュリティ基準と照らし合わせて、要件を満たしているクラウドサービスを選ぶようにすることが大切です。
他にも、国内外には、さまざまなセキュリティ基準の認証制度が存在しています。
この認証の有無はクラウドサービスのセキュリティ対策の高さを見分けるうえで、1つの基準になります。
特に、以下の認証を受けているクラウドサービスはより安全性が高いと言えます。
- クラウドサービスに特化した世界的なセキュリティ基準である「ISO 27017」
- 日本の政府機関で採用されているセキュリティ基準「ISMAP」
- 全世界を対象とした難易度の高いセキュリティ基準「SOC2(SOC2+)」
クラウドサービスのセキュリティ対策を比べる際の参考にしてみてください。
まとめ~便利なクラウドはセキュリティ面を確かめて安全に活用を
インターネット接続ができる環境であれば、場所や時間を選ばずアクセスして活用できる便利なクラウドサービスは、「初期コストがない」「サーバー構築の時間が節約できる」「拡張性が高く柔軟に利用できる」などの活用メリットがあります。
一方でクラウドは、インターネットを介して利用することが多いことから、セキュリティリスクがあると言われることもありましたが、クラウド環境を提供するクラウドサービス各社がセキュリティ対策に力を入れて取り組んでいることもあり、安全性は高まっていると言えます。
しかし、クラウドサービス各社のセキュリティ対策の内容や特徴には違いがあるため、各社が公表しているセキュリティ対策の情報や、セキュリティ認証取得の有無などをしっかり確認して、自社の基準に見合う提供元を選ぶことが重要です。
クラウドセキュリティの自社対応に不安がある場合は、クラウド活用やセキュリティ対策で信頼できる、クラウドサービス会社認定のパートナー企業のサポートを受けることをおすすめします。
<クラウドのセキュリティに不安がある企業のみなさまへ>
もし、セキュリティ面の不安で導入に慎重になっている場合や、サーバーの入れ替えなどのタイミングで、自社のシステム運用に最適な環境をお探しの場合は当社にご相談ください。
AWS認定資格を有する技術者が30名以上在籍する当社が、御社に最適なAWSのクラウド環境をご提案します。
AWSクラウドへのセキュアな専用回線を構築する「AWS専用接続サービス」のご提供も可能です。
