KNOWLEDGE - COLUMN ナレッジ - コラム

【ナレッジコラム】クラウドで必要なセキュリティ対策とは?概要や具体的な対策を紹介

昨今のコロナ禍の影響でテレワークが急速に普及したことに伴い、クラウドシステムの普及が更に加速していると複数のメディアが報じています。自社でもクラウドシステムを積極的に導入していきたいとお考えの方もいらっしゃるのではないでしょうか。しかしながら、クラウドを導入する場合に懸念される事項の一つがセキュリティ対策です。急にクラウドの導入が決まり、セキュリティ対策をどうすればいいのか頭を抱える担当の方もいらっしゃることでしょう。今回は、そのような状況に置かれた方のために、クラウドのセキュリティ対策として必要な事項をお伝えしていきます。

クラウドのセキュリティ対策の前に基本のおさらい

クラウドを含むセキュリティ対策を検討する場合には、まずセキュリティの基本知識が大事になってきます。不正アクセスや情報漏えいの概念は以前から存在していたもので、これらのセキュリティリスクへの対策については、自社の運営方針に従って決定された「情報セキュリティポリシー」を既に整備している会社も多いはず。自社の情報セキュリティポリシーに従って、情報資産や対象データの重要度を分類し、その重要度に応じたアクセス制御や運用設計、危機管理体制を構築していくことが重要です。新しい要因にばかり囚われて、基本を崩さないようにしましょう。

情報資産の分類は、例えば下記のような表によって実施されます。フォーマットは企業によって様々です。


※引用:※外部サイト:5分でわかるクラウドセキュリティの5つのポイント(Symantec)

(※1):data loss prevention、data leak prevention の略。保存場所や使用場所に左右されずに機密データを検出、監視、保護する包括的な情報漏えい対策のこと。

昨今のコロナ禍に代表される状況の変化によって、クラウドシステムはここ数年で急速に普及をみせました。しかしながら、急速に導入が進む中で、新たなセキュリティの問題も見え始めています。例えば、コロナ禍における政府からの出勤者減の要請でテレワークの普及が加速し、テレワークに関連するセキュリティの問題などは、更に身近になりました。テレワークは大変便利な仕組みですが、インターネット経由で社内のシステムにアクセスする以上は、不正アクセスや情報漏えい、データの改ざんなどのセキュリティリスクにさらされます。また自宅からの勤務になることにより、シャドーITの利用などが出てしまうリスクも考えられます。シャドーITとは、許可なく自分が所有するIT機器を会社のネットワークに接続して使ってしまうことです。

しかしセキュリティ対策の基礎が抑えてあれば、基礎知識を組み合わせることで、新しいセキュリティリスクであっても、ある程度の対策を立案していけるはずです。また、システム面でのセキュリティ対策に加えて、従業員へのセキュリティ教育など、人の面でのセキュリティ対策も必要になってきます。

クラウドのセキュリティで考慮すべき内容とは

それではクラウドのセキュリティ対策としては、どのような内容を準備していけばよいのでしょうか。順番にみていきましょう。

OSやアプリケーションの脆弱性を極力排除

どんなシステムでも、脆弱性をついた攻撃を受けることで、情報漏えいや改ざんなどのリスクがあります。攻撃手法としては、SQLインジェクション、クロスサイトスクリプティングなどが有名です。

このようなセキュリティリスクに対抗するためには、定期的なセキュリティ修正・ファームアップの実施や定期的な脆弱性診断、プログラムのコードレビューなどが有効です。時間はかかりますが、システムの見直しを定期的に実施し、常にシステムを最新の対策状態にしておくことが有効です。

脆弱性診断については、詳しく記載した記事がありますので、ぜひご覧ください。


脆弱性診断とは?その概要や重要性から具体的な実施内容までを紹介


その他、Web Application FirewallやIPS/IDSなどを導入して攻撃の検知や防御を実施することや、ウイルス対策ソフトなどでマルウェアのスキャンを定期的に実施することも忘れてはいけません。

強固なアクセス制御の実施

クラウドシステムは、ユーザーとインターネット経由で通信するため、不正アクセスやなりすましのリスクはどうしても避けられません。そのため、自社の情報セキュリティポリシーに沿ってデータの重要度を定義し、データの配置場所を決定して適切なアクセス制御を施すことが大事です。昨今では、ワンタイムパスワードや二段階認証、多要素認証の活用などが主流になっています。従来のID・パスワード方式を止むを得ず利用する場合は、類推されやすいパスワードや単純なパスワードは避けましょう。

パスワードの決定方法については、情報処理推進機構(以下、IPA)から「コアパスワード」を決めていく下記資料が公開されていますので、参考にしてみてください。


※外部サイト:安心相談窓口だより


また社内の機密データを簡単に外へ持ち出せない、物理的なアクセス制御の仕組みを構築することも重要です。例えば持ち出しの際には申請書への記載をする、磁気テープなどに貼り付けたタグに反応するゲートを警備員が常駐する出入口付近に設置する、などがあります。

従業員への適切なセキュリティ教育

IPAから発行されている情報セキュリティ10大脅威 2020では、組織への攻撃の上位3位は下記の通りになっています。クラウドに限らず、これらの脅威は特に考慮する必要があるでしょう。

  • 標的型攻撃による機密情報の窃取
  • 内部不正による情報漏えい
  • ビジネスメール詐欺による金銭被害

これらの攻撃は、従業員のセキュリティリテラシーが高ければ、ある程度は防げます。文面が怪しいメールは安易に開くとセキュリティ事故に繋がる恐れがあること、内部不正が発覚した際には自社の社会的信用が失墜することなどを、座学やE-learningの形式で定期的に従業員へ周知し、継続したセキュリティ教育を実施しましょう。

通信の暗号化

先ほども述べた通り、クラウドはインターネットを経由して通信するため、盗聴や改ざんなどのリスクは必ず発生します。そのため、SSLでの暗号化は必須です。プライベートクラウドのような環境でもSSLを使用することで、内部不正のリスクを回避できます。

クラウドベンダーのポリシー確認

クラウドベンダーの都合で、自社の各種セキュリティポリシーを変更せざるを得なくなることもあるので注意が必要です。定期的に自社の情報セキュリティポリシーに合致しているか、サービス仕様書や契約書、ヒアリングなどでクラウドベンダーのポリシーを確認しましょう。

データの暗号化やバックアップで検閲対策

注意すべきは政府機関によるデータの検閲です。海外のデータセンターにデータを保管する場合は注意しましょう。例えばアメリカでは、米国愛国者法(USA PATRIOT ACT)により、米国内に存在するサーバであれば、あらゆるデータに対して米連邦捜査局(FBI)または政府が調査権限を持ちます。情報を実際に押収された事例もあります。機密性の高いデータについては、データの暗号化や保管場所の分散、そもそも海外リージョンを使わないなどの対策が必須です。別リージョンへのデータバックアップも効果的です。

新しい脅威や対策手法にも目を向けておく

冒頭で話したテレワークなど、昨今のITの潮流も把握しておく必要があります。特に最近注目されている言葉として「ゼロトラスト」や「シャドーIT」といった言葉があります。

ゼロトラストは直訳すると「信用なし」で、その名の通りシステムに向かってきたアクセスは全て疑わしいものとし、多要素認証や厳格なアクセス制限などでセキュリティを保つ概念です。

セキュリティ対策が不十分なシャドーITなどの機器が社内に接続されてしまった場合には、マルウェアが社内に蔓延するリスクが大です。また、自由に自分のIT機器を社内ネットワークに接続できる状態では情報持ち出しは非常に容易であり、情報漏えいにつながる恐れもあります。USBポートの使用禁止や、不正接続検知の仕組みなどを用いて、社内ネットワークを管理しましょう。また、CASB(Cloud Access Security Broker)と呼ばれる単一のコントロールポイントを導入し、インターネット接続の際に経由させることもシャドーIT対策として有効です。

クラウドサービスのセキュリティに関わる認証について

一般財団法人 日本品質保証機構(JQA)から、「ISO/IEC 27017」がリリースされています。

ISO/IEC 27017は、クラウドサービスに関する情報セキュリティ管理のガイドライン規格です。情報セキュリティ全般のマネジメントシステム規格であるISO/IEC 27001の取り組みをベースとしてISO/IEC 27017で強化することにより、クラウドサービスにも対応した情報セキュリティ管理体制を構築でき、またクラウドサービスのセキュリティについて、自社の強い姿勢をアピールできます。詳細は下記Webサイトをご覧ください。

※外部サイト:ISO/IEC 27017(クラウドサービスセキュリティ) | ISO認証 | 日本品質保証機構(JQA)

クラウドのセキュリティ対策ならインフォメーション・ディベロプメントへ

急速に普及が進むクラウドシステムには、特有のセキュリティ対策が欠かせません。テレワークシステムなどに代表されるクラウドシステムでは、インターネット経由のアクセスを余儀なくされるため、不正アクセスやデータの改ざんなどの対策が必要です。

従来のOSやアプリケーションの脆弱性排除、アクセス制御の実施など基本的な対策の他に、「ゼロトラスト」や「シャドーIT」などの新しい概念も出てきているので、ITのトレンドを常に把握するように心がけましょう。

インフォメーション・ディベロプメントなら、クラウドを含めたサイバーセキュリティに対する包括的な施策を提案できます。弊社のクラウドセキュリティソリューションについては、Webサイトの中に紹介がございますので、ぜひご覧ください。

ソリューション | インフォメーション・ディベロプメント

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

関連するナレッジ・コラム

地味に見えて優秀!マネージドプレフィックスリストでアドレス管理を効率化

AWS 新ソリューション “Tag Tamer” 楽楽タグ管理!?(構築編)

【エバンジェリスト・ボイス】Pythonで実現!顔認識プログラムでWeb会議中の集中力が判明?