クラウドセキュリティは万全ですか?テレワークするなら情報漏洩対策を!
多くの企業がテレワーク対応を進める今、業務効率化に欠かせない「クラウドサービス」の利用企業は増加の一途を辿っています。一方で、クラウドサービスのセキュリティ対策は事業者に依存しきりで、自社での対策が不十分な企業における情報漏洩リスクが懸念されています。
今回は、クラウドセキュリティの重要性や対策すべきポイントについて解説していきます。
クラウドセキュリティとは?
メールやストレージ、各種業務システムなどの利用で、社内の機密情報をクラウドサービスに預けるのが当たり前の時代になりました。しかしながら、その裏側ではアカウント情報の流出などが原因で、不正アクセスによる情報漏洩事故が多発しています。
クラウドサービスの最大のメリットは、誰もがどこからでもスムーズに情報にアクセスできることですが、この利便性がセキュリティ上の脅威になり得ることは認識しておかなければいけません。加えて、クラウドサービス事業者側での障害や人的ミスなどが原因で、データが消失したりサービス自体が停止したりする事態も発生しています。
このような、クラウドサービス特有のリスクに備えるセキュリティ対策が「クラウドセキュリティ」です。
クラウドサービス特有のセキュリティリスクに備えよう
クラウドサービスは、従来のオンプレミス型に比べて多くのメリットがある一方で、オンプレミス環境とは異なるセキュリティ対策が求められます。
オンプレミスとの比較におけるクラウドサービスの利点
自社でサーバーやシステムを保有・運用するオンプレミスは、まずデータセンターを構築するのに莫大な投資が必要になります。一方、クラウドサービスを利用すればこのような初期投資は不要で、スピーディーに導入できます。運用コストも安価で、管理・保守が容易なのはクラウドサービスの大きなメリットだと言えるでしょう。
万が一の自然災害が起きたとき、オンプレミスの場合はサービス停止リスクが高く、復旧までに時間がかかる傾向にあります。一方、多くのクラウドサービスは堅牢なデータセンターを有しているため、サービスへの影響を最小限に抑えられます。
クラウドシフトによる新たなセキュリティ脅威
上述のとおり、オンプレミスに比べてメリットが大きいクラウドサービスですが、セキュリティ面でのリスクがないわけではありません。クラウドサービスの利用に際しては、以下のような脅威が考えられます。
●障害などによるデータ消失
万が一、クラウドサービス事業者側で障害が発生した場合、クラウドサービス上のみにデータを預けていると、データの復旧が困難になる可能性があります。
●外部へのデータ漏洩
クラウドサービス事業者がサイバー攻撃を受けるなどすると、預けているデータが外部に漏洩してしまうリスクがあります。
●アカウントの悪用
ウイルス感染や人的ミスなどによって、クラウドサービスのアカウント情報(ユーザIDやパスワード)が流出すると、第三者の不正アクセスによってクラウドサービス上に保管している情報が漏洩してしまう可能性があります。
情報漏洩を防ぐためのクラウドセキュリティ
どのクラウドサービス事業者も強固なセキュリティ体制を謳っているため、比較するのは簡単ではありませんが、コストだけで判断するのは避けるべきです。セキュリティ体制も細部までチェックしたうえで、慎重に事業者・サービスを選定することが重要になります。
また、契約後も事業者任せにするのではなく、自社側でおこなうべきセキュリティ対策はたくさんあります。情報漏洩を防ぐには、自社側でも適切なセキュリティ対策を講じなければいけません。クラウドセキュリティを徹底する際、その指針になるチェックシートをIPA(独立行政法人 情報処理推進機構)が公開していますので、ぜひ参考にしてください。
中小企業のためのクラウドサービス安全利用チェックシート
(1)利用範囲の明確化
クラウドサービスでどの業務、どの情報を扱うかを検討し、業務の切り分けや運用ルールの設定を行いましたか?
(2)サービスの種類とコスト
業務に合うクラウドサービスを選定し、コストについて確認しましたか?
(3)扱う情報の重要度
クラウドサービスで取扱う情報の管理レベルについて確認しましたか?
(4)ポリシーやルールとの整合性
セキュリティ上のルールとクラウドサービスの活用の間に矛盾や不一致が生じませんか?
[B]クラウドサービスの利用準備についての確認項目
(5)利用管理担当者
クラウドサービスの特性を理解した利用管理担当者を社内に確保しましたか?
(6)ユーザ管理
クラウドサービスのユーザについて適切に管理できますか?
(7)パスワード
パスワードの適切な設定・管理は実施できますか?
(8)データの複製
サービス停止等に備えて、重要情報を手元に確保して必要なときに使えるための備えはありますか?
[C]クラウドサービスの提供条件についての確認項目
(9)事業者の信頼性
クラウドサービスを提供する事業者は信頼できる事業者ですか?
(10)サービスの信頼性
サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービスレベルは示されていますか?
(11)セキュリティ対策
クラウドサービスにおけるセキュリティ対策が具体的に公開されていますか?
(12)利用者サポート
サービスの使い方がわからないときの支援(ヘルプデスクやFAQ)は提供されていますか?
(13)利用終了時のデータの確保
サービスの利用が終了したときの、データの取扱い条件について確認しましょう。
(14)契約条件の確認
一般的契約条件の各項目について確認しましょう。
※参照:クラウドサービス安全利用のすすめ
クラウドサービス利用のための情報セキュリティマネジメントガイドライン
経済産業省でも、「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を公開しています。
このガイドラインは、クラウド利用者が自らおこなうべきこと、クラウド事業者に対して求める必要のあること、クラウドコンピューティング環境における情報セキュリティマネジメントの仕組みについて詳しく記載されています。こちらも参考にしながら、クラウドセキュリティの徹底を図っていきましょう。
◎:クラウドサービス利用のための情報セキュリティマネジメントガイドライン
盤石のクラウドセキュリティでビジネスを加速させよう
これからの時代、クラウドサービスの活用なくしてビジネスの発展は望めません。一方で、クラウドサービスにはクラウド特有のセキュリティリスクがあるのも事実です。本編でも記載したとおり、クラウドサービスを利用する際は、あらかじめ事業者のセキュリティ対策レベルや保証の範囲などを確認したうえで、信頼できる業者を選定することが第一です。それに加え、自社側でも適切なセキュリティ対策を講じることでクラウドサービスの恩恵を最大限に享受でき、ビジネスをさらに加速させられるはずです。
