ご存じですか?クラウド活用に潜む本当のリスク――

今、おさえておきたいクラウドセキュリティの基礎

「自社内でシステムを運用するよりも、クラウドを用いたほうがかえって安全」――クラウドサービスのビジネス利用が進むなか、そうした声が企業の間から漏れ聞こえてくる。実のところ、その認識は正しくもあり、間違いでもある。ならば、クラウドのビジネス利用にはどんなセキュリティリスクが潜在しているのか――。

本コーナーでは、今、おさえておくべきクラウドセキュリティの基礎を説く。

「安全に使う」がクラウドを活かすコツ

企業のクラウド利用が拡大している。総務省の「平成27年(2015年)版 情報通信白書※」によると、国内でクラウドサービスを利用している企業の割合は38.7%、資本金50億円以上の企業では7割を超えた。
導入理由は、「資産、保守体制を社内に持つ必要がないから」「初期導入コストが安価だったから」「どこでもサービスを利用できるから」といったように、機能やコスト面でのメリットを挙げる声が多い。

一方、導入をしない理由は、
「必要がない」
「情報漏えいなど、セキュリティに不安がある」
「メリットが分からない、判断できない」
「クラウドの導入に伴う既存システムの改修コストが大きい」
が多くを占める。
特に、セキュリティへの懸念は3割大きく超えており(34.5%)、クラウドの必要性を感じた企業が導入をためらう最大の懸念事項になっている。

だが一方で、大企業を中心としてクラウドを当然のように利用している現実もある。このギャップはどこから生まれるのだろうか。

クラウド活用に積極的な企業からよく聞かれるのは、「クラウドがもたらすメリットは数多く、仮にセキュリティ上の懸念があるならば、クラウドを安全に利用するための一手を講じればいいだけの話」といった声だ。

とはいえ、クラウド内のシステムに対しては、社内システム(オンプレミス)とまったく同じセキュリティ・コントロールをかけることはできない。したがって、「クラウドを安全に利用する」ためには、当然、クラウドのセキュリティリスクを正しく理解したうえで、クラウドに適した施策を講じなければならない。またそれが、クラウド活用のベネフィットを最大化することにつながるのである。

クラウドに潜むセキュリティリスクとは

では、セキュリティ施策を展開するうえで、オンプレミスとクラウドの間には、具体的にどのような違いがあるのだろうか。

それを知るために、クラウド活用を巡るセキュリティリスクをいくつか列挙してみよう。

まず、最大のリスクとして指摘しておきたいのは「丸投げと過信」だ。これは、クラウドの事業者がすべての責任を持ってくれると思い込み、セキュリティ対策を疎かにし、結果的に取り返しがつかなくなるリスクである。

一般に、クラウドサービスでは、「責任共有モデル(Shared Responsibility Model)」が前提になる。つまり、サービス事業者とサービス利用者がそれぞれ管理責任を持ち、個々の役割を適切に果たすことで、より柔軟でセキュリティの高いサービスが実現できるという考え方である。

概要イメージ

たとえば、インフラを貸し出すIaaSでは、アプリケーションやデータの管理責任は基本的に利用者側にある。したがって、運用ミスによるデータ消失を防ぐ対策は自ら行わなければならず、万が一の際の補償もない。

もう一つ、社内におけるクラウド利用のガバナンスがとれていないのもリスクの1つであろう。ここ数年来、コンシューマー向けのクラウドサービスを、ビジネス現場のユーザーが勝手に利用するケースが増えている。そうしたユーザーは、すべてではないにせよサービスの利用規約を十分に吟味しないまま、クラウドの使用を始めてしまう。そして万が一の事態が発生した際には、最終的な責任は常にシステム部門が被ることになる。したがって、システム部門サイドは、クラウドの利用を認めつつも、そのガバナンスを徹底する必要がある。

このほか、SaaSに関しても、セキュリティが万全と思い込むのは危険だ。仮に、ユーザーによるパスワード管理がずさんで、「パスワードの使い回し」が日常的に行われているならば、リスティング攻撃による情報流出のおそれは常にある。また、クラウドストレージに保存されたデータをシステム部門がどう管理するか、内部統制や社外監査のためのログや証跡をクラウドからどう取得するかなども、セキュリティ上の課題として挙げられるだろう。

加えて、マイナンバー制度のような新制度や制度改正によって、クラウド利用の新しいリスクが発生することもある。本コーナーでは、そうした点を加味しながら、クラウドのセキュリティリスクをさまざまに解説していく。それを通じて、クラウドをもっと安全に活用し、ビジネスの拡大や俊敏性向上に生かしていく道筋を示したい。

クラウド活用のためのセキュリティ対策コラム

セキュアなクラウド活用で押さえておきたい3つのポイント

法令・ガイドライン・基準への適合性利用企業側のセキュリティ対策ハイブリッド環境のセキュリティ対策クラウドとオンプレミスの併用が招く問題の解決

クラウドサービスは、利用企業から独立した存在のため、サービス事業者のセキュリティ対策を詳しく知ることはできません。クラウドサービスを安心して活用するためには、利用企業側でも、"もしもの時の対策"を講じる必要があります。

企業の情報システムには、様々な法令やガイドラインなどの安全性基準が存在します。その基準を遵守した上で、クラウドサービスを活用するためには、利用企業側も何らかの対策を講じる必要があります。

ハイブリッド環境では、クラウドとオンプレミスで別々のID/パスワードを使用する手間が発生します。そのため、パスワードの使い回しという、セキュリティ上の問題が生じます。利便性とセキュリティの両立も考慮すべき項目です。

この問題の解決策:なりすまし対策、情報漏洩対策、アクセスログ管理 この問題の解決策:社内外システムの認証連携
この3つのポイントを押さえ、よりセキュアなクラウド活用を実現するのがクラウドセキュリティソリューション「TrustBind シリーズ」です。

利用企業に求められるクラウドセキュリティを実現

クラウドセキュリティソリューション「TrustBind シリーズ」は、クラウドサービスをよりセキュアに利用するための機能を利用企業に提供します。

クラウドサービスを含む統合的なID管理・アクセス制御・SSO(シングルサインオン)を実現する「TrustBind/Federation Manager」、クラウドに格納する個人情報や営業秘密などを暗号化、トークン化して、更に監査に必要とされる詳細な利用履歴情報の記録を可能にする「TrustBind/Secure Gateway」「TrustBind/Tokenization」、クラウドへの安全なファイル保管を可能とする「TrustBind/Hybrid Storage」がラインナップされています。

多要素認証・SSOの仕組み
データ暗号化/トークナイゼーション/ログ管理の仕組み
ファイル分散保管の仕組み


※参考資料:総務省『情報通信白書』(2015年版)
http://www.soumu.go.jp/johotsusintokei/whitepaper/


※当ソリューション・製品に関するお問い合わせリンクは、NTTソフトウェアのお問い合わせ専用ページ(社外サイト:MARKETINGPLATFORM)に遷移します(MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです)。

ソリューション・製品一覧へ