クラウドセキュリティとは

近年では「クラウドセキュリティ」という言葉がよく聞かれるようになりましたが、具体的にはどのようなものを指しているのか分からないという方も多いのではないでしょうか。

そこで、まずはクラウドセキュリティの概要やクラウド環境の種類、クラウドサービスの主な内容などについて詳しく解説します。

クラウドセキュリティの概要

クラウドセキュリティとは、クラウド環境を運用するにあたって考慮されるセキュリティ対策全般のことを指しています。もっと分かりやすくいえば、「クラウド環境に保存されているデータを、悪質な第三者からのサイバー攻撃から守るための対策」と表現できるでしょう。

クラウド環境とは

クラウド環境とは、ユーザーがインターネットを通じてデスクトップ環境やアプリケーション、ソフトウェア、各種データ・リソースなどを使用可能な状態のことです。クラウド環境には主に「プライベートクラウド」と「パブリッククラウド」の2種類があります。

プライベートクラウド

プライベートクラウドとは、他のユーザーとは切り離された独自のクラウド環境を構築してクラウドを使用することをいいます。後述するパブリッククラウドとの違いは「複数のユーザーとサーバーを共有しているかどうか」にあり、プライベートクラウドの場合は1つのサーバーを専有してリソースを使用するため、接続の安定性が高く、セキュリティも守られやすいという特徴があります。

ただし、プライベートクラウドはパブリッククラウドに比べて導入コストが高額になりやすく、十分に予算をかけられない場合は実現が難しいというデメリットもあります。

パブリッククラウド

パブリッククラウドとは、1つのサーバーを複数のユーザーが共有するクラウド環境のことです。複数ユーザーが1つのサーバーを共有するという性質上、導入コストを安く済ませやすいのがメリットです。

一方で、複数ユーザー間でリソースを分け合って利用するため、同時に接続するユーザーが増えると接続遅延が起きやすいというデメリットがあります。ただし、仮想環境を使ってユーザー同士のリソースが空間単位で切り分けられているため、他のユーザーがどのようにクラウド環境を利用しているのかを覗き見られるようなことはありません。

クラウドサービスとは

クラウドサービスとは、事業者がクラウド環境を通じて提供しているサービスの総称です。主にSaaS、PaaS、IaaSの3種類があり、それぞれソフトウェア、プラットフォーム、インフラストラクチャーを提供しています。

それぞれの特徴について詳しく見ていきましょう。

SaaS

SaaSとは「Software as a Service」の略称で、クラウド上でソフトウェアを提供するサービスのことを指しています。一般的には「サース」や「サーズ」と呼ばれています。利用者は事業者からIDとパスワードの発行を受けて、インターネットを通じて自身のアカウントにログインした上でサービスを利用します。

サービスを提供しているサーバーの管理は事業者側が行うため、サーバーのアップデートを利用者側が意識する必要はなく、最新のセキュリティを維持しやすいのがメリットです。また、インターネットに接続できればどこからでもサービスを利用できるので、リモートワークなどにも適しています。

オンラインバンキングなどのWebアプリケーション、プログラムを実行するためのWebサービス、Webサイト上に文章を掲載するWebページやWebサイト、Webサービスを提供するためのWebシステムなどがSaaSの代表例です。

PaaS

PaaSは「Platform as a Service：の略称で、事業者がクラウド環境上に構築したプラットフォームを利用可能なサービスです。「パース」と呼ばれています。

事業者側が用意したデータセンターなどに、アプリケーションやソフトウェアを動作させるためのプラットフォーム（サーバー、ネットワーク、OS、ミドルウェア等）を用意し、利用者側はそのプラットフォームをレンタルするようなイメージで開発に使用できます。

PaaSは開発環境の土台を提供するものであり、世界においてはMicrosoft社のAzureやAmazon社のAWS、Google社のGoogle Cloud Platformなどが特に著名なサービスだといえるでしょう。事業者側が常に高度なセキュリティ対策を施すため安全性が高く、開発に便利なさまざまな機能が搭載されています。

IaaS

IaaSは「Infrastructure as a Service」の略称で、事業者側がクラウド環境上に用意したネットワークやCPU、ストレージ、メモリなどのリソースを利用者へ提供するサービスです。「イアース」や「アイアース」と呼ばれています。

IaaSとPaaSの違いは一見分かりにくいようにも思えますが、IaaSは「リソースそのもの」を提供するサービスであり、PaaSは「開発環境一式」を提供するサービスであると捉えると分かりやすいでしょう。

従来は自社でサーバーを構築して開発のためのリソースを確保しなければなりませんでしたが、IaaSの登場によって開発環境を整えるためのリソースをいつでも必要な分だけ手軽に利用できるようになりました。IaaSを利用することによって定期的なサーバーの買い替えが不要になるだけでなく、サーバー管理者を置いてメンテナンスをする必要もなくなるというメリットがあります。

クラウド環境におけるセキュリティリスク

クラウド環境にはさまざまなメリットがありますが、一方でいくつかのセキュリティリスクも抱えています。ここでは、クラウド環境における代表的な4つのセキュリティリスクについて解説します。

リスク① 情報漏洩

クラウド環境を提供している事業者が情報漏洩を起こすと、自社の情報が意図しない形で外部に流出してしまう危険があります。事業者側はクラウド環境を提供するにあたって高度なセキュリティ維持に努めていますが、近年のサイバー攻撃は巧妙かつ激化しており、専門業者に運用を委託したからといって100%安全であるという保証はありません。

リスク② データ消失

事業者が運用しているサーバーが何らかの原因で故障するなどのトラブルが起こると、データ消失に見舞われるリスクもあります。自社でサーバーを運用している場合であっても十分に起こり得るリスクであり、万が一のデータ消失に備えてバックアップを取りデータを二重化するなどの対策が求められます。

リスク③ サイバー攻撃

悪意のある第三者がクラウド環境を提供する事業者を狙ってサイバー攻撃を仕掛けることにより、利用者であるユーザーの所有するデータが流出させられたり、改ざん・窃取されたりするセキュリティリスクも考えられます。
クラウド環境を提供している事業者が十分なセキュリティ対策を実施しているかを見極めて、信頼できる事業者を選ぶことが大切です。

リスク④ 不正アクセス

セキュリティの脆弱性を突いて事業者のサーバーに不正アクセスし、データを盗み取ったり改ざんしたりされるリスクもあります。前述のサイバー攻撃や情報漏洩は、不正アクセスの一環であるともいえます。

クラウドサービス利用時のセキュリティ対策

クラウドサービス利用時のセキュリティ対策として、クラウドセキュリティガイドラインや各種セキュリティ対策、セキュリティ基準の活用が注目されています。それぞれの項目について詳しく見ていきましょう。

クラウドセキュリティガイドライン

クラウドセキュリティガイドラインとは、クラウドサービスの利用者向けに経済産業省が取りまとめたガイドラインのことです。2011年4月に公開されてから何度か改定され、2022年5月現在では第3版が公開されています。

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」という名称が正式であり、クラウドサービスを利用する上で利用者が注意したいポイントや、事業者がクラウドサービスを提供するにあたって開示すべき情報などがまとめられています。

セキュリティ対策

クラウドサービス利用時のセキュリティ対策として、代表的なのは次の6つです。

対策① 情報の暗号化

データを送受信する際に暗号化を施すことで、万が一不正アクセスなどによってデータを覗き見られても内容を解読されることを防止し、重要なデータを保護する役割を果たします。暗号化されていないデータは盗み見られるとすぐに内容が分かってしまうため、セキュリティを高めるためにはデータの暗号化は必要不可欠です。

対策② ユーザー認証

クラウドサービスの利用者にIDやパスワードなどの個人を識別できるユーザー認証を設けて、認証を通過した人だけがサービスを利用できるようにするセキュリティ対策です。ユーザー認証を設けることで誰でもクラウドサービスを利用できるユーザーを制限し、悪意のある第三者が容易にサイバー攻撃による不正アクセスを仕掛けられないようにする効果があります。

対策③ データバックアップ

データを他の事業所やデータセンターなどにバックアップしておき、二重化することで万が一のデータ喪失から早期復旧が可能です。天災やウイルスなどのサイバー攻撃などによってデータ喪失が起こるリスクを身近に捉えて、事前に対策を講じることが大切です。

対策④ 保管場所の把握

事業者が運用しているサーバーの保管場所を把握しておくことにより、天災などの地政学リスクをある程度考慮した上でどのサービスを利用するのかを決定しやすくなります。どこにサーバーが置かれているのか分からない状況でサービスを選ぶと、想定外の場面でサービスが停止するなどのトラブルが起こり得ます。

対策⑤ アクセス制御

ユーザーごとに適切なアクセス権を付与してアクセス制御を行うことで、第三者が不要な情報に接することを避けて、不正な情報の持ち出しの防止につながります。「経営層のスケジュールは一般社員から確認できない」などの対応もアクセス制御の一種です。

対策⑥ 選定時の注意

クラウドサービスの選定時は、コストと機能やセキュリティのバランスをよく検討することが大切です。「安ければ安いほど良い」と考えがちですが、コストが安いクラウドサービスは機能やセキュリティに十分な予算をかけられていない場合もあるため、サービス内容をよく見極めてから契約するかどうかを決定しましょう。

クラウドサービスのセキュリティ基準

世界で定められているセキュリティ基準には多くの種類があります。ここでは、特にクラウドサービスに特化した代表的な6つのセキュリティ基準を簡単に紹介します。

ISMS

ISMSは、「ISO2700」や「ISO27017」とも呼ばれるセキュリティ基準です。全世界を対象としたクラウドセキュリティの国際規格であり、クラウドサービスを利用・提供するにあたって、情報セキュリティを管理する上でのガイドラインとなっています。

CSマーク

CSマークは日本を対象としたセキュリティ基準で、JASA（特定非営利活動法人日本セキュリティ検査協会）が認定しています。ゴールドとシルバーの2種類の認証基準があり、セキュリティの目的やレベルによってどちらの監査を受けるかを選択できます。

CSASTAR認証

CSASTAR認証は「Cloud Security Alliance」の略称で、世界を対象としたクラウドセキュリティを確保するためのセキュリティ成熟度を測る認証制度です。自己認証や第三者認証など、全部で3段階に分かれています。

StarAudit Certification

StarAudit Certificationはヨーロッパを含む全世界が対象となるセキュリティ基準で、クラウドを6つの項目にカテゴライズし、それぞれの項目について星3～5つで評価します。一部の項目だけでも認定を受けられることから、中小企業も認証を受けやすいのが特徴です。

FedRAMP

FedRAMPはアメリカが対象のセキュリティ基準で、米国政府機関が採用しているクラウドサービスに関する共通認証制度です。3つのセキュリティレベルに分かれており、1年単位で審査を受け、月次でセキュリティモニタリングの報告が必要です。

SOC2（SOC2＋）

SOC2は、米国公認会計士協会が定めるセキュリティ基準で、財務諸表リスクについて評価します。機密保持、プライバシー、可用性などのセキュリティについて評価されます。

Microsoft 365 のセキュリティ対策ができる SYNCPIT

リモートワークが広く普及しつつある近年では、インターネットを通じてOffice 365を利用でき、グループウェアの機能も備えたMicrosoft 365のユーザーが増加しつつあります。しかし、監査ログの利用状況についてアンケートを実施したところ、多くの企業で適切な監査体制が整っていないとみられるアンケート結果が明らかになりました。

エムオーテックスが独自で行ったアンケート結果では「監査ログを知らない」「チェックしていない」「見ていない」と答えたユーザーが全体の48.7%を占めており、およそ2人に1人が自社のMicrosoft 365の利用状況を正確に把握していないという結果が出ています。

セキュリティ・バックオフィス業務をクラウドサービス連携で自動化する「SYNCPIT」では、Microsoft 365と連携してさまざまなセキュリティ対策を施し、安全性の高い運用を実現しています。

監査ログを活用した利用状況チェック

SYNCPITでは、「Microsoft 365 コンプライアンスセンター」を通じて監査ログの取得が可能です。監査ログのなかから該当のイベント名を検索すると、どのタイミングでファイルの作成・変更が行われたのかを知ることができるため、不正アクセスの防止に役立ちます。

アラート設定

Microsoft 365のアラート設定と連携することによって、SYNCPITに特定の変更や操作が加えられたときに自動的にアラートを生成する機能を利用できます。内部への不正アクセスによって情報が持ちだされようとしているタイミングで、スムーズな対応が可能です。

まとめ

インターネットに接続されていればどこからでも気軽に利用できるクラウドサービスは便利ですが、だからこそ適切なセキュリティ基準を守って利用しなければサイバー攻撃の標的になってしまうおそれがあります。

クラウドにはどのようなリスクがあるのかを正しく理解した上で、セキュリティ対策を十分に実施し、安全にクラウドサービスを利用できる環境を整えることが大切です。

Microsoft 365と連携可能なSYNCPITの詳細については、こちらをご覧ください。