クラウドサービスのサイバーセキュリティについて


 クラウドサービスとは、インターネット経由でさまざまなサービスを提供する事業です。

事業者は、特定のアプリケーションやストレージ以外にも、サーバーや大規模なシステムまで幅広く提供しています。通常、事業者側で環境の構築や保守・運用面を行ってくれるため、利用者側は手間やコストをかけずサービスだけを利用することが可能で、近年急速に普及が進んでいます。

 クラウドサービスはSaaS、PaaS、IaaS等利用できるサービスによって異なっており、自社の環境によって利用内容を選べるのが大きな特徴です。

▋クラウドセキュリティとは

 クラウドセキュリティとは、クラウド環境で発生するセキュリティリスクへの対策のことです。セキュリティ対策を講じないことで、データが盗まれたり、システムを悪意ある第三者に乗っ取られたりする可能性があります。

 クラウドサービスの普及によりクラウドセキュリティの必要性が高まっていますが、一方で「クラウド=絶対安全」だと誤解している事業者も多く見られます。クラウド事業者のセキュリティ対策に任せるだけではなく、利用する側の企業も十分なセキュリティ対策を講じなければなりません。

▋クラウドセキュリティの注意点

 ここではクラウドサービス利用に際してのセキュリティ上の注意点を以下に記します。

①不正アクセスやサイバー攻撃

 不正アクセスとは、第三者がシステムやサーバ内部に侵入する攻撃です。クラウドサービスはインターネット上にログイン画面が公開されているため、IDやPWが漏洩すると誰にでもアクセスされてしまいます。

 流出したログイン情報を使ったりやVPNの脆弱性を狙ったサイバー攻撃にも注意する必要があります。

②情報漏洩

 ①の不正アクセスやサイバー攻撃により、クラウドに保管されたデータが搾取される可能性があります。企業の機微情報やユーザーの個人情報が流出すると、金銭的損失や企業に対する信頼の失墜につながります。

③データ消失や暗号化

 システム障害や設定の不具合、不正アクセスなどが原因で、保存されたデータが消失するケースがあります。また近年ではランサムウェアによる重要データやシステムの暗号化の被害も増えています。

④クラウド事業者の被害がそのまま利用者にも影響

 社労士向けや宿泊施設向けのクラウド事業者へのサイバー攻撃により、その利用者にも大きな被害を与えたインシデントが発生しています。クラウドサービスの普及により、同様の被害が増える可能性は大いに考えられます。サービスの利用は非常に便利ですが、そのサービスがストップするとそのまま利用者側にも被害が波及するのがクラウドサービスです。

▋クラウドセキュリティ対策

 ここではクラウドセキュリティ強化のための、いくつかの対策を記します。

①アクセス制御・特権IDの管理

 アクセス制御ではログインできるユーザを制限するために、通信を許可するIPアドレスを設定します。またデータの閲覧・修正・削除など、ユーザが実行できる操作範囲を設定することも大切です。特権IDの管理を強化することで、アクセスできるユーザーを限定し、重要データに触れられるユーザーを限定することも重要です。

②脆弱性対策

 脆弱性の診断は既知の脆弱性を早期発見し、攻撃を受ける前に対策を実施することが可能です。どんなにセキュリティに気を配っていても、脆弱性が生じる可能性はゼロにはなりません。

 クラウドサービスを利用するための環境に対しても脆弱性診断は有効です。ネットワーク上に脆弱性が存在すれば、そこから攻撃を受ける可能性があります。

③バックアップ

 人為的ミスや災害、ランサムウェアなどさまざまな原因でデータが消失する可能性は常にあります。定期的にデータをバックアップしておくことが大切です。クラウド上だけではなく、オフラインでデータをバックアップしておくことも有効です。

④サイバーBCPの策定

 サイバー攻撃だけではなく、人為的なミスや災害によるシステムの不具合やダウンにも対応できるように、事業継続計画を策定しておくことも非常に重要です。システム依存が進む企業にとって、そのシステムが止まることは事業の停止に直結します。クラウドサービスやシステムの代替手段を講じておくことは、事業の復旧には必要な措置です。

▋まとめ

 以上のことを踏まえ、クラウドセキュリティ対策のポイントをまとめます。

  • アクセスを制御の厳格化→無料 or システムの導入による対策(ID管理サービス/CASB等)
  • クラウド事業者と利用者の責任の明確化(セキュリティの責任範囲を決めておく)→無料
  • 脆弱性対策→無料(サービスのアップデート) or 投資(脆弱性診断)
  • バックアップ→オフラインサーバーやクラウドサービスのバックアップ機能を活用
  • サイバーBCPの策定→無料(災害や感染症のBCPの活用)
  • 外部セキュリティ専門家の活用によるネットワーク全体の監視→投資が必要(MDRやXDR/SIEM)

 弊社ではクラウドサービス利用者向けのセキュリティ対策支援を行っています。上記の対策それぞれについて無料でアドバイスも行っておりますので、お気軽にお問合せ下さい。