クラウドのセキュリティリスクとは？サービスの選び方、自社で行う対策について解説

クラウドサービスを導入する企業が増えています。しかし、クラウドサービスにはセキュリティのリスクも存在します。導入する際には自社での対策も必要です。

この記事では企業の経営層の方やご担当者様に向けて、クラウドサービスのセキュリティリスクや対策について解説します。クラウドサービスを安全に利用するために、ぜひ参考にしてください。

クラウドサービスとは

そもそもクラウドサービスとは、どのようなものなのでしょうか。ここでは、クラウドサービスの概要を解説します。

概要

クラウドとは、インターネット上でさまざまなサービスを利用できる仕組みのことです。クラウドとは、英語で「雲」を意味しており、インターネットを雲に例えたことから名称として定着しました。

インターネット上のクラウドを利用すれば、ソフトウェアやインフラを自社で整備しなくても必要なサービスをすぐに利用できます。インターネットに接続できる環境とパソコンやスマートフォンなどの端末さえあれば、いつでもどこでもサービスを利用可能です。

活用するメリット

クラウドサービスは、初期費用や運用費用が比較駅安価で、気軽に利用できます。自社でソフトウェアやインフラを整備したり、メンテナンスしたりする費用もかかりません。メンテナンスはクラウドサービスを提供している事業者が行うため、自社のリソースを割かなくて済むからです。そのため、自社の負担を大きく減らすことが可能です。

また、インターネットに接続できる環境であれば、いつでもどこでもクラウドを確認でき、データの共有も楽に行えます。

活用するデメリット

クラウドサービスはあらかじめ使用できる機能やUIなどが決まっており、自社の希望にあわせてすべてをカスタマイズできるわけではありません。サービスによっては一部のカスタマイズが可能な場合もありますが、制限がついていることが一般的です。

また、セキュリティレベルや機能性も、クラウドサービスを提供している事業者次第であることもデメリットです。セキュリティ対策が不十分な場合、事業におけるリスクも高くなります。もちろん、対策が十分なサービスを選べば自社の情報を保護しながら安全に利用できます。

クラウドのセキュリティリスク

クラウドには、どのようなセキュリティリスクがあるのでしょうか。ここでは、クラウドの具体的なセキュリティリスクについて解説します。

不正アクセス

クラウドサービスを利用するためには、IDやパスワードが必要です。しかし、IDやパスワードが流出すれば、自社に関係ない第三者に勝手にアクセスされる恐れがあります。クラウドサービスに不正アクセスを受ければ、自社の重要な情報が盗まれる可能性もあります。サイバー攻撃やシステムの破壊につながる恐れもあるため、注意が必要です。

不正アクセスを防止するためには、不正ログインへの対策をしっかり取り入れているクラウドサービスを選びましょう。

データ消失・破損

障害や不具合が発生すれば、クラウドサービスに保存していたデータが消失したり破損したりする恐れがあります。サービスの提供元が復旧作業を行ったとしても、場合によっては復旧が不可能だったり、復旧したデータが他社のデータと混在し情報漏洩につながるリスクもありえます。

クラウドサービスの障害や不具合に備えるためには、日頃からデータのバックアップをとっておける環境を整えましょう。データの消失や情報漏洩が起きた時に備えて、適切な対応ができる契約を検討することも重要です。

内部関係者の脅威

クラウドサービスは、IDやパスワードがあれば誰でもアクセス可能です。場合によっては、内部関係者がセキュリティリスクを発生させる可能性もあります。社員やインターンのスタッフなどの内部関係者がIDやパスワードを悪用しないよう、注意しておかなければなりません。

たとえば、特に重要なデータについては、業務上関係がない人のアクセスは制限しておくべきです。また、社員に対する教育を強化し、セキュリティに対する意識を高めることも大切です。

セキュリティリスクの範囲はクラウドの種類で異なる

クラウドの種類によっても、セキュリティリスクの範囲は違います。ここでは、種類によるセキュリティリスクの違いを解説します。

クラウドの種類

クラウドは、SaaS、PaaS、IaaSの3つに大別できます。
SaaSは、もともとパッケージ製品として販売されていたソフトウェアをクラウド化し利用できるようにしたものです。たとえば、Google WorkspaceなどがSaaSに該当します。

PaaSは、アプリケーションやソフトウェアを動かすための仕組みをクラウド上で提供するものです。たとえば、Microsoft Azureがあります。

IaaSは、システムを使用するために必要なネットワークや機材をクラウド上で提供しています。代表例はGoogle Compute Engineなどになります。

責任分界点がある

責任分界点とは、ユーザーとサービス事業者のそれぞれがどこまで責任を負うかを定めた基準です。責任分岐点はクラウドの種類によって異なるため、注意しましょう。

SaaSは仮想化基盤、物理基盤、OS、ミドルウェア、アプリケーションのすべてについてサービス事業者が責任を負います。それに対して、PaaSについてサービス事業者が責任を負うのは、アプリケーション以外の部分です。IaaSは、仮想化基盤や物理基盤についてのみサービス事業者が責任を負います。

クラウドとオンプレミスのセキュリティの違い

オンプレミスとは、自社でサーバーやソフトウェアを管理して使用するシステムのことです。従来は、クラウドよりもオンプレミスのほうがセキュリティリスクは低いとされていました。しかし、現在では、セキュリティの要件を満たすクラウドサービスも多く登場しています。そのため、セキュリティを重視する場合も、クラウドサービスを活用できるようになりました。

そのため、クラウドサービスを選ぶ際は、自社の目的に適したものを選ぶことが大切です。以下では、クラウドサービスを選ぶときに重視すべきポイントを解説します。

クラウドセキュリティガイドラインについて

経済産業省は、クラウドのセキュリティについて定めたガイドラインを公表しています。日本工業規格（JIS）をもとにしており、情報セキュリティ管理のJIS Qを基本として作られました。

クラウドセキュリティガイドラインでは、クラウドサービスを利用する際の注意点やサービス事業者が提供すべき情報などについてまとめられています。

セキュリティ対策1.セキュリティが強固なクラウドサービスを選ぶ

クラウドサービスを選ぶときは、セキュリティがしっかり対策されているかどうか確認しましょう。また、単に高いセキュリティが設定されているだけでなく、サービス事業者が継続的に対策を講じているかどうかもチェックする必要があります。不正アクセスの手口は日々進化しているため、常に最新の状況に対応しているものを選ぶべきです。

また、データのバックアップがとられているかどうかも重要なポイントです。障害や不具合が発生するリスクにも備えられるクラウドサービスを選びましょう。

セキュリティ対策2.自社の対策も強化する

クラウドサービス利用するうえでは、サービス事業者に頼るだけでなく、ユーザーもセキュリティ対策を取り入れる必要があります。具体的な対策について解説します。

安全なパスワード管理

IDやパスワードが流出すれば、クラウドサービスのセキュリティが万全でも、不正アクセスが発生する恐れがあります。IDやパスワードはクラウドサービスを利用する社員が利用するため、それぞれが安全に管理しなければなりません。

IDやパスワードを忘れないようにするため付箋で机に貼っている人もいますが、不正アクセスを招く原因になります。社員が安全にIDやパスワードを適切に管理できるよう、指導を徹底しましょう。

通信データの暗号化

クラウドサービスはインターネットを介して利用します。そのため、悪意をもった第三者が存在していれば、クラウドサービスを利用している途中に重要な情報を盗み見られるリスクがあります。

情報を守るためには、通信データの暗号化による対策が重要です。通信データを暗号化すると、万が一、内容を盗み見ようとする人がいても解読できません。クラウドサービスを安全に利用するためには、通信データの暗号化が必須です。

データの管理場所

大規模なクラウドを展開しているサービス事業者は、世界中にデータセンターを設けています。万が一の事態にも備えるためには、データの管理場所についても確認しておきましょう。

海外にデータセンターを設けているクラウドサービスを利用している場合、状況によってはデータセンターがある国の法律によりデータベースが差し押さえになる可能性もあります。そのようなリスクを防ぐためには、可能な限り国内でデータを保管しているクラウドサービスを選ぶべきです。

退職者IDの削除

退職者のIDは、タイミングを決めて順次削除しましょう。退職者のIDが使用できる状態になっていると、自宅からログインして不必要な情報を見られる恐れがあるからです。また、退職者のIDが第三者に流出し、情報漏洩に発展するリスクもあります。

引き継ぎのためにログインが必要な場合も、あらかじめ期限を設けましょう。退職者がクラウドサービスへログインできる権限はきちんと削除し、無用なトラブルにつながらないようにしてください。

セキュアなアプリケーション・OSの構築

アプリケーションやOSに脆弱性があれば、攻撃を受けて情報漏洩につながるリスクが高くなります。クラウドサービスを利用するうえでは、定期的に状態をチェックすることが大切です。

クラウドサービスを利用し始めたときは問題がなくても、途中で問題が発生する可能性もあります。脆弱性診断やウイルススキャンなどを実施し、安全に使い続けられる状態か確認しましょう。

まとめ

クラウドサービスにはたくさんのメリットがあり、すでに多くの企業が活用しています。しかし、便利なクラウドサービスも、利用するうえではセキュリティリスクに気をつける必要があります。ポイントを押さえてクラウドサービスを選び、安全に利用しましょう。