Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目次
クラウドセキュリティとは、ご利用中のクラウド環境において、データ保護や不正アクセスの防止を目的に行うセキュリティ対策のことです。国内企業の7割以上がクラウドサービスを活用する昨今、利便性が向上する一方で、クラウドサービスを狙ったセキュリティ被害も深刻化しています。
従来、組織内のネットワークで完結していたデータ保管や情報共有が、クラウド利用によって外部ネットワークからもアクセス可能となったことで、攻撃者による不正アクセスや情報の流出といったリスクが高まったことが1つの要因です。
これら外部脅威や内部不正から大切な情報資産を守るためにも、企業・組織は自社のクラウドセキュリティ対策を見直し、安全な環境を構築することが欠かせません。
この記事ではクラウドセキュリティに関する、対策案や国内のサイバー攻撃事例・クラウドサービスの選び方などを解説します。前章は主に「クラウドサービス」や概要の解説となりますので、具体的な対策内容等を知りたい方は「 クラウドサービスを利用する企業が実践すべき、7つのセキュリティ対策 」の章からご覧ください。
==========================================
▼この記事を要約すると
・クラウドセキュリティとは、クラウド環境における情報セキュリティ対策のことであり、国内企業の7割以上がクラウドサービスを活用している
・クラウドのセキュリティ被害が多発しており、情報漏洩・データの消去や改ざんといった被害が想定される
・クラウド環境=セキュリティが脆弱という認識は誤りで、信頼できる事業者を選べば、オンプレミス環境と同様、安全に使用できる
・セキュリティに強いクラウドサービス事業者を選ぶ基準として、ISO国際規格の取得や第三者機関から評価を得ていることなどがあげられる
・利用者側が実践すべきセキュリティ対策としては、多要素認証、ゲストユーザーや権限設定の見直し、ログ監視などがある
==========================================
またエムオーテックスでは、中小企業の情報システム担当者1,000名を対象に『クラウドセキュリティに関する実態調査』を行いました。
・クラウドサービスに対して、セキュリティ対策は行えているか?
・監査ログによる定期チェックや監視は行えているか?
・過去、クラウド経由でどういったインシデントが発生したか?
などの情報をレポートにまとめています。ぜひ自社のクラウドセキュリティ対策の参考にご活用ください。
クラウドセキュリティとは
クラウドセキュリティとは、クラウド環境における情報セキュリティ対策全般やそのツールを指す言葉です。より分かりやすくいえば「 クラウド環境に保存されているデータを、悪質な第三者からのサイバー攻撃から守るための対策 」と表現できます。
テレワークの普及や働き方改革といった時代の変化に伴い、クラウドサービスの市場規模は2024年現在も増加の一途を辿っています。しかしクラウドサービス利用率の高まりと並行して、クラウドを狙ったサイバー犯罪や、クラウドに起因する情報漏洩事件が増加しているのもまた事実です。
例えば、クラウドサービスの設定ミスにより「 社内限定公開のつもりが社外からもアクセス可能になっていた 」ことで、重要情報が流出するといった被害が1つの事例です。その他にも、「 クラウドサービスへの認証が甘く不正アクセスが行われる」「退職者のアカウントを削除し忘れ、情報が持ち出される 」といった被害も実際に発生しています。
こういったクラウド独自のセキュリティ事故の高まりを受け、2011年には総務省より「クラウドセキュリティガイドライン」が公表されるなど、国内全体で企業のクラウドセキュリティの推進が注目されています。
クラウドサービスとは
本題の「クラウドセキュリティ」の説明に入る前に、簡単に「そもそもクラウドサービスとは」という解説をさせてください。
クラウドサービスとは、従来利用者が自身のデバイスで使用していたソフトウェア・データストレージ・処理機能などを、インターネット経由で利用に提供するサービスのことです。
組織が物理的なハードやソフトウェアを個別に購入・管理する必要がなくなり、システム構築や機器管理の手間も削減できることで 業務の効率化・導入コスト削減 といったメリットがあります。
加えて「社外からも場所を問わずアクセスできる」といった利便性から、コロナ過に起因するテレワークの普及に伴い、クラウドサービスを利用する企業・組織が急増下という背景があります。
3種類のクラウドサービスの違い(SaaS、PaaS、IaaS)
クラウドサービスにはSaaS、PaaS、IaaSの3種類があり、それぞれソフトウェア、プラットフォーム、インフラストラクチャーを提供しています。
SaaS
SaaSとは「Software as a Service」の略称で、クラウド上でソフトウェアを提供するサービスのことを指しています。一般的には「サース」や「サーズ」と呼ばれています。利用者は事業者からIDとパスワードの発行を受けて、インターネットを通じて自身のアカウントにログインした上でサービスを利用します。
サービスを提供しているサーバーの管理は事業者側が行うため、サーバーのアップデートを利用者側が意識する必要はなく、最新のセキュリティを維持しやすいのがメリットです。また、インターネットに接続できればどこからでもサービスを利用できるので、リモートワークなどにも適しています。
オンラインバンキングなどのWebアプリケーション、プログラムを実行するためのWebサービス、Webサイト上に文章を掲載するWebページやWebサイト、Webサービスを提供するためのWebシステムなどがSaaSの代表例です。
PaaS
PaaSは「Platform as a Service:の略称で、事業者がクラウド環境上に構築したプラットフォームを利用可能なサービスです。「パース」と呼ばれています。
事業者側が用意したデータセンターなどに、アプリケーションやソフトウェアを動作させるためのプラットフォーム(サーバー、ネットワーク、OS、ミドルウェア等)を用意し、利用者側はそのプラットフォームをレンタルするようなイメージで開発に使用できます。
PaaSは開発環境の土台を提供するものであり、世界においてはMicrosoft社のAzureやAmazon社のAWS、Google社のGoogle Cloud Platformなどが特に著名なサービスだといえるでしょう。事業者側が常に高度なセキュリティ対策を施すため安全性が高く、開発に便利なさまざまな機能が搭載されています。
IaaS
IaaSは「Infrastructure as a Service」の略称で、事業者側がクラウド環境上に用意したネットワークやCPU、ストレージ、メモリなどのリソースを利用者へ提供するサービスです。「イアース」や「アイアース」と呼ばれています。
IaaSとPaaSの違いは一見分かりにくいようにも思えますが、IaaSは「リソースそのもの」を提供するサービスであり、PaaSは「開発環境一式」を提供するサービスであると捉えると分かりやすいでしょう。
従来は自社でサーバーを構築して開発のためのリソースを確保しなければなりませんでしたが、IaaSの登場によって開発環境を整えるためのリソースをいつでも必要な分だけ手軽に利用できるようになりました。IaaSを利用することによって定期的なサーバーの買い替えが不要になるだけでなく、サーバー管理者を置いてメンテナンスをする必要もなくなるというメリットがあります。
2種類の「クラウド環境」
クラウド環境とは、ユーザーがインターネットを通じてデスクトップ環境やアプリケーション、ソフトウェア、各種データ・リソースなどを使用可能な状態 のことです。
クラウド環境には「1.プライベートクラウド」と「2.パブリッククラウド」の2種類があり、今回のテーマである「クラウドサービス」は、後者のパブリッククラウドを指すことが一般的です。
1.プライベートクラウド
プライベートクラウドとは、企業・組織が他のユーザーとは切り離された独自のクラウド環境を構築し、専用でクラウドを使用することを指します。
後述する「パブリッククラウド」との違いは「外部ユーザーとサーバーを共有しているかどうか」にあり、プライベートクラウドの場合は1つのサーバーを専有してリソースを使用するため、 接続の安定性が高くセキュリティも守られやすい という特徴があります。
ただし、パブリッククラウドに比べて導入コストが高額になりやすく、十分に予算を割けない場合、実現が難しいというデメリットもあります。
2.パブリッククラウド
パブリッククラウドとは、1つのサーバーを社外ユーザーと共有するクラウド環境のことです。複数ユーザーで1つのサーバーを共有する性質上、導入コストを安く済ませやすいのがメリットです。
一般的に「クラウド」というと「パブリッククラウド」を示すケースが多いです。
一方で、複数ユーザー間でリソースを分け合って利用するため、同時に接続するユーザーが増えると接続遅延が起きやすいというデメリットがあります。ただし、仮想環境を使ってユーザー同士のリソースが空間単位で切り分けられているため、他のユーザーがどのようにクラウド環境を利用しているのかを覗き見られるようなことはありません。
近年の多様化する「働き方」や「組織の在り方」では、より柔軟かつ余計なコストを生まない、パブリッククラウドの利用が加速しています。
2026年、クラウドサービスの市場規模は約7.4兆円へ到達見込み
令和4年、総務省が発表した「情報通信白書令和5年版」によれば、調査に参加した国内企業2,396社のうち、70.4%が「クラウドサービスを導入している」と回答しました(2021年時点)。
また「今後クラウドサービスの利用を予定している」と答えた9.8%の企業を合わせると、将来的には、全体企業の約8割がクラウドサービスを導入することとなります。
▼国内企業「クラウドサービス利用状況」の内訳
出典:総務省│情報通信白書令和4年- 22. クラウドサービスの利用状況
さらに、市場調査コンサルティング「MM総研」が国内企業33,922社に行った調査によると、今後もクラウドサービスの市場規模は年々拡大し、2026年には市場規模が約7.4兆円に達すると予測されています。
▼国内クラウドサービスの市場規模の推移と予測
出典:MM総研│国内クラウドサービスの市場規模は3.5兆円に拡大
このように、今後も市場拡大が予想されるクラウドサービスですが、普及に伴いクラウド経由でのセキュリティ事故や、クラウドの脆弱性をついた悪質なサイバー犯罪も発生しています。
情報漏洩をはじめとした深刻なリスクを防止するためには、クラウドサービスへの強固なセキュリティ対策が求められています。
総務省の提供する「クラウドセキュリティガイドライン」とは
クラウド環境下でのサイバー攻撃被害の増加に伴い、総務省より「クラウドサービス提供における情報セキュリティ対策ガイドライン(クラウドセキュリティガイドライン)」が発行されています。
クラウドサービスの利用者向けに総務省が取りまとめたガイドラインであり、2011年4月公開より何度か改定を経て、2024年1月現在では第3版が公開されています。
政府や専門機関から集めた専門家の監修によって作成されており、クラウドサービスを利用する上で利用者が注意したいポイントや、事業者がクラウドサービスを提供するにあたって開示すべき情報などがまとめられています。クラウドサービスを導入している企業・組織であれば、必ず目を通し、自社環境の見直しに役立てたい資料です。
クラウド環境におけるセキュリティリスク
クラウドサービスの利用にはさまざまなメリットがある一方、セキュリティリスクが増加することも念頭に置かなければなりません
クラウドサービスにおける、代表的な4つのセキュリティリスクについて解説します。
リスク1 情報漏洩
クラウドサービスは社外とネットワークを共有する分、外部からアクセスされるリスクが生まれます。結果、従業員の不正行為や外部からのサイバー攻撃により、 自社の抱える機密情報 (顧客データ、経営戦略、財務情報など) が意図せず流出する危険 があります。
事業者側はクラウド環境を提供するにあたって高度なセキュリティ維持に努めていますが、近年のサイバー攻撃は巧妙かつ激化しており、専門業者に運用を委託したからといって100%安全であるという保証はありません。
リスク2 データ消失
クラウドサービスの場合、サーバー管理は事業者が運用するため、サーバー故障などのトラブルが起こると、データ消失や一時的なサービスの利用停止に見舞われるリスクもあります。企業側は万が一に備え、日頃からバックアップを取りデータを二重化するなどの対策が求められます。
リスク3 金銭面・信頼面の被害
悪意のある第三者がクラウド環境を狙ってサイバー攻撃を仕掛ける、あるいは内部不正によって機密情報が漏洩することにより、結果として「損害賠償の支払い」「営業活動停止に伴う損益」「復旧費用」といった 金銭的な損害 を被る可能性があります。
また取引先や顧客情報が流出することで、 社会的な信頼の低下 を招くリスクもあるでしょう。
こういった背景を踏まえ、企業・組織にとってクラウドサービスにおけるセキュリティ強化は、今や必須の課題であると言えます。またクラウド環境を提供する「事業者側」の脆弱性がリスクをもたらす懸念もあるため、十分なセキュリティ体制を構築できているベンダーの見極めも重要です。
国内で発生したクラウドサービスの被害事例
クラウドサービスのセキュリティ対策の重要性を知っていただくため、ここでは実際に国内企業で発生した、クラウドサービスに起因するセキュリティ被害の事例をご紹介します。
1. Microsoft 365 への不正アクセスで2万件の機密データが流出した事例
被害企業 | 大手電気メーカー |
---|---|
時期 | 2019年6月 |
対象クラウドサービス | 「 Microsoft 365 」への不正アクセス |
被害内容 | 防衛関連の情報のデータファイル、約2万件が流出。サイバー攻撃で国家安全保障に関わる情報漏洩が発生した初のケース。 |
国内の大手電気メーカーにて、2019年に新たに導入したマイクロソフト社のクラウドサービス「Microsoft 365 」への不正アクセスによって、防衛関連のデータを含む約2万件の機密データが流出した事例です。
流出したデータのうち、59件が安全保障に影響を及ぼす危険性が示唆されたことから話題となりました。
この事件の原因は、中国にある同メーカー子会社にて脆弱性を狙った不正アクセスが発生し、悪意ある第三者より、従業員のアカウント情報を盗み取られたことです。
犯人は盗み取った従業員のアカウント情報で Microsoft 365 のクラウドサービスへ侵入し、クラウドサービスおよび関連サーバーを攻撃。最終的に機密データを窃取したと考えられています。
2.インフラ企業の子会社、ファイル転送時に149万件の情報流出
被害企業 | 大手インターネット事業者 |
---|---|
時期 | 2020年12月 |
対象クラウドサービス | クラウド型営業システムの「セキュリティ設定」不備 |
被害内容 | 防衛関連の情報のデータファイル、約2万件が流出。サイバー攻撃で国家安全保障に関わる情報漏洩が発生した初のケース。 |
大手インターネット事業者では、契約していたSaas系のクラウド型営業管理システムへの不正アクセス被害により、約149万件の顧客データが漏洩しました。クラウドシステムのセキュリティ設定に誤りがあり、社外から第三者によるログインが可能になっていたことが原因です。
流出した可能性がある情報としては、同社の法人向け資料を請求した、顧客企業の名称・住所(最大138万1735件)。また、事業者向けビジネスローンに申し込みを行った法人情報(最大1万5415件)や、その他の通信サービスに申し込んだ人の個人情報(最大8万9141件)の流出など、大きな被害となりました。
このように、十分な対策をせずクラウドサービスを利用することは、企業にとって大きなセキュリティ被害を招く要因となります。クラウド導入ではセキュアな環境を叶えるための、セキュリティ対策もあわせて実施することが欠かせません。
次章ではクラウドサービス導入中の企業・組織に実践してほしい、具体的なセキュリティ対策についてご紹介します。
クラウドサービスを利用する企業が実践すべき、7つのセキュリティ対策
クラウドサービスの利用時、企業が実践すべき7つのセキュリティ対策をご紹介します。
クラウドセキュリティには「サービス提供事業者」と「利用者」それぞれの対策が考えられますが、今回は「利用者向け」の対策に絞ってご紹介します。
▼クラウド利用事業者向け、7つのセキュリティ対策
1.多要素認証を活用しユーザー認証を強化する
2.ゲストユーザーを管理する
3.共有・公開設定を見直す
4.アクセス制御をおこなう
5. データのバックアップ
6.監査ログを取得・確認する
7.設定全般を定期的に見直す
1.多要素認証を活用しユーザ認証を強化する
1つ目の対策は、クラウドサービスへログインする際の「認証の強化」です。ユーザー名とパスワードでログインする従来の認証設定では、攻撃者にパスワードを推測され、不正アクセスを招くリスクがあります。
そこで重要なのが「多要素認証」の導入により、認証強化を図ることです。多要素認証は、パスワード以外の要素を認証に追加することによって、認証時のセキュリティを強固にすることができます。
具体的に追加する認証要素には、端末を限定する「クライアント証明書」や、別の媒体を利用する「ワンタイムパスワード」、あるいは「生体認証」などがあります。自社でのクラウドサービスの運用によって、最適なものは異なりますので、自社の業務や運用を考慮した上で、どの要素を採用するか検討してください。
多要素認証の実装により、万が一パスワードが漏洩した場合でも、不正アクセスを防ぐことができます
関連ページ
例でわかる!多要素認証(MFA)とは?仕組みや種類・二段階認証との違いをわかりやすく解説
2.ゲストユーザーなど、外部のユーザーを管理する
2つ目の対策は、ゲストユーザーなど「外部のユーザー」をしっかりと管理することです。
昨今のクラウドサービスでは利便性の面から、 外部のユーザーを招待し共同作業できるサービス が一般的です。一方でクラウドサービスのゲストユーザーは、情報漏洩などのインシデントが発生する原因の1つですので、社内の管理体制を整えることが重要です。
▼対策手順
1.ゲストユーザーの一覧を確認しましょう。一覧に居るゲストユーザーが、どのような用途で自社のクラウドサービス環境に存在しているのか、一通り理解できれば問題ありません。
招待した経緯が分からないユーザーは、ログを確認して、「誰が」「いつ」「どのような理由で」招待したのかを確認し、不審なユーザーは削除しておくことを推奨します。
2.次に、ゲストユーザーを招待する権限所持者が適切かを確認してください。クラウドサービスによっては「ゲストがゲストを招待できる」設定が、可能なケースも存在します。
3.外部への共有、公開関連の設定を確認する
3つ目の対策は、外部への共有・公開関連の設定を確認することです。
外部への共有や公開機能は、クラウドサービスの利点の1つではあります。しかし、クラウド経由で発生する情報漏洩事故で最も多いのが、この「外部共有設定のミス」に起因するケースです。実際、「本来公開する予定ではなかった情報が誤って公開されていた」というような事故を、耳にした事はありませんか?
クラウドサービスによって設定箇所や設定方法は異なりますので、不安があれば必ずサポートに確認を取って、自社の「意図している設定になっているか」を確認してください。
4.アクセス制御をおこなう
ユーザーごとに適切なアクセス権を付与する「アクセス制御」を行うことも重要です。
例えば、組織の経営に係る機密情報に、幹部・役員だけがアクセスでき、一般社員は閲覧できない設定にすることは、アクセス制御の1つの例です。
不要な権限を外すことで、従業員の不正な情報アクセス・漏洩を防ぐことはもちろん、仮にサイバー攻撃によって社員のアカウントが乗っ取られた場合も、重要な情報にたどり着きづらくするといった効果が望めます。
5. データのバックアップ
直接的な防御策ではありませんが、クラウドのセキュリティ対策において「データの適切なバックアップ」を行うことも欠かせません。
データを他の事業所やデータセンターなど複数にバックアップすることで、万が一データが喪失あるいは暗号化された際も、復旧することが可能です。天災やウイルスなどのサイバー攻撃などによってデータ喪失が起こるリスクを身近に捉えて、事前に対策を講じておきましょう。
クラウドサービスに限りませんが、安全なバックアップの方法として「 データは3箇所に・2種類以上の方法で・1つは遠隔地に保存する 」という『3-2-1-ルール』という方法が推奨されています。
6.監査ログを取得し、定期的に確認する
6つ目の対策は、クラウドサービス内の監査ログを取得し、定期的に確認することです。
クラウドサービスによって、ログで取得できる情報や保存期間の仕様は様々です。重点的に確認するポイントとしては、主に以下の部分になります。
・ログイン情報など、認証に関するログ
・ゲストユーザーの招待に関するログ
・外部への共有リンクの発行など、外部共有に関するログ
これらの情報を1か月に1度など定期的に確認し、不審な情報があった場合は早めに調査・対策を打っておく事が重要です。実際に事故やインシデントが発生した場合でも、いつ・誰が・どのような操作を行ったのか、調査を行うためにログが必要となります。
また「監査ログを取得している」ことを従業員に周知することで、「不審な操作を行えばすぐ特定される」という危機意識が定着し、 内部不正の抑止力 となる効果も期待できます。
LANSCOPE セキュリティオーディターでは、Microsoft 365 の長期における監査ログ取得を実現します。
Microsoft 365本体では「90日間」の制限があるログ取得に対し、 25ヶ月分のログ保存・エクスポート が可能。「半年前のログを見返したい」などの希望にもお答えできます。
関連ページ
LANSCOPE セキュリティオーディターで実現する、監査ログの長期保管とは
7. 設定全般を定期的に見直す
7つ目の対策は、利用しているクラウドサービスの設定全般を定期的に見直すことです。
クラウドサービスは更新・バージョンアップの頻度が高く、新しい機能やサービスが次々とリリースされます。例えば、新しい機能がリリースされた時、デフォルトの設定のまま使用すると「データが外部に公開されていた」など、危険な状態になっている場合があります。
また、一時的な作業や検証のために設定を変更したまま、戻すのを忘れていた為にインシデントが発生してしまうというケースもあります。実際、本記事で紹介した「クラウド型営業システム」における情報漏洩事例も、クラウドの設定不備により悪意ある第三者に侵入されたことが要因でした。
自社で設定を見直すのが難しい場合、診断サービスなどを利用し、専門家に依頼することも1つの有効な手段です。診断サービスを申し込むことで、自社のクラウド環境の脆弱な部分、不適切な設定を明らかにすることが可能です。
LANSCOPE プロフェッショナルサービスでは、ご利用中のクラウドサービスにおける設定ミス・不備を、プロの診断士が洗い出し・対策をおこなう「クラウドセキュリティ診断」を提供しています。
先述した「アクセス権限・共有設定の見直し」「多要素認証の導入」といった対策を網羅的におこなうことで、セキュリティ事故の要因を解決します。
クラウドサービスのセキュリティ基準
世界で定められている「セキュリティ基準」には、さまざまな種類があります。
ここでは、特にクラウドサービスに特化した代表的な6つのセキュリティ基準を簡単に紹介します。
ISMS
ISMSは、「ISO2700」や「ISO27017」とも呼ばれるセキュリティ基準です。全世界を対象としたクラウドセキュリティの国際規格であり、クラウドサービスを利用・提供するにあたって、情報セキュリティを管理する上でのガイドラインとなっています。
関連ページ
必見!ISMSとは?わかりやすく概要・ISMS認証取得の流れと基準を解説
CSマーク
CSマークは日本を対象としたセキュリティ基準で、JASA(特定非営利活動法人日本セキュリティ検査協会)が認定しています。ゴールドとシルバーの2種類の認証基準があり、セキュリティの目的やレベルによってどちらの監査を受けるかを選択できます。
CSASTAR認証
CSASTAR認証は「Cloud Security Alliance」の略称で、世界を対象としたクラウドセキュリティを確保するためのセキュリティ成熟度を測る認証制度です。自己認証や第三者認証など、全部で3段階に分かれています。
StarAudit Certification
StarAudit Certificationはヨーロッパを含む全世界が対象となるセキュリティ基準で、クラウドを6つの項目にカテゴライズし、それぞれの項目について星3~5つで評価します。一部の項目だけでも認定を受けられることから、中小企業も認証を受けやすいのが特徴です。
FedRAMP
FedRAMPはアメリカが対象のセキュリティ基準で、米国政府機関が採用しているクラウドサービスに関する共通認証制度です。3つのセキュリティレベルに分かれており、1年単位で審査を受け、月次でセキュリティモニタリングの報告が必要です。
SOC2(SOC2+)
SOC2は、米国公認会計士協会が定めるセキュリティ基準で、財務諸表リスクについて評価します。機密保持、プライバシー、可用性などのセキュリティについて評価されます。
セキュリティに強いクラウドサービスの選び方
先述のとおり、自社のクラウド環境にてセキュリティ品質を担保するには、そもそもセキュリティ管理を徹底した信頼できる提供元を選ぶことが大切です。
セキュリティに強いクラウドサービスを選定するために、参考になる要素は次の通りです。
・ISO/IEC 27001国際規格を取得している
・ITreview評価など、第三者から評価を得ている
・詳細なアクセス権限の設定を行える
・多要素認証やデータの暗号化に対応している
・ユーザー側の操作でファイルを復元できる
例えば、情報セキュリティマネジメントシステム(ISMS)に関する国際規格 「ISO/IEC 27001」の認証を取得している企業 であれば、セキュリティ対策を十分に行っている企業であると判断できます。また、「ITreview」でリーダーに選ばれるなど、第三者によって「優れた製品」と認められていることも、クラウドサービス選びの基準として有効です。
機能面では、詳細なアクセス権限を設定できることや、多要素認証・データの暗号化に対応していること、ユーザー側の操作でファイルを復元できることなども、判断するポイントです。
クラウドのセキュリティ課題を解決する「LANSCOPEソリューション」
LANSCOPEでは、貴社のセキュアなクラウド環境構築をお手伝いする、強力なセキュリティソリューションを提供しています。
1.Microsoft 365 の情報漏洩対策「LANSCOPE セキュリティオーディター 」
2.クラウド環境の設定不備や課題を明らかにする「 クラウドセキュリティ診断 」
といった、2種類のLANSCOPEソリューションをご紹介します。
1. Micorosoft 365 のセキュリティ対策に特化した「LANSCOPE セキュリティオーディター」
先程記載したセキュリティ対策のうち、「監査ログを取得し、定期的に確認する」対策に最適なのが、 Microsoft 365 のユーザー操作を「見える化」する、 LANSCOPE セキュリティオーディターです。
Microsoft 365 の監査ログ取得により「誰が・いつ・何の操作をしたか」を、管理画面上で瞬時に把握できるのが特徴です。
また、組織外ユーザーへのファイル共有・外部ユーザーのクラウド招待など、従業員の不審な操作を検知すると、管理者・当人の両方へアラートで通知します。よって不審な動きをすぐに検知し、情報漏洩に繋がる操作を阻止することが可能です。
更に先述のとおり、Microsoft 365本体では90日間しか保存できない監査ログを、最大25ヶ月分を保存・一括エクスポートできるといった強みもあります。お使いのMicrosoft 365 プランに+300円/月で利用できる、コストパフォーマンスの良さも魅力です。
関連ページ
Microsoft 365 のセキュリティに特化「LANSCOPE セキュリティオーディター」とは?
2.クラウド環境の設定課題を調査する「クラウドセキュリティ診断」
先述したセキュリティ対策のうち、「設定全般を定期的に見直す」対策に最適なのが、契約中のクラウドサービスにて、セキュリティ課題を明らかにする クラウドセキュリティ診断 です。
経験豊富な当社のエンジニアが、ご利用中のクラウドサービスにて設定不備を洗い出し、改善策の提案を行います。会社全体のポリシーを基準に是正を行う際など、クラウド環境の現状把握にも活用いただけます。
▼診断対象のクラウドサービス
SaaS セキュリティ診断 | IaaS セキュリティ診断 |
---|---|
・Microsoft 365 診断 ・Google Workspace 診断 ・Zoom 診断 ・Box 診断 ・Salesforce診断 ・Slack診断 |
・Amazon Web Services(AWS)診断 ・Microsoft Azure 診断 ・Google Cloud Platform(GCP)診断 |
またクラウドセキュリティ事故の事例、CISベンチマーク、クラウドベンダーから提供されているベストプラクティスなどを参考に、最新情報をいち早く捉え、診断サービスに反映させています。
変化の早いクラウド設定にも、確実に対応することが可能です。
関連ページ
LANSCOPE プロフェッショナルサービス のクラウドセキュリティ診断 | LANSCOPE プロフェッショナルサービス
まとめ
本記事では「クラウドセキュリティ」をテーマに、クラウドサービスの概要・セキュリティの重要性や対策内容について解説しました。
==========================================
本記事のまとめ
・クラウドセキュリティとは、クラウド環境における情報セキュリティ対策のことであり、国内企業の7割以上がクラウドサービスを活用している
・クラウドのセキュリティ被害が多発しており、情報漏洩・データの消去や改ざんといった被害が想定される
・クラウド環境=セキュリティが脆弱という認識は誤りで、信頼できる事業者を選べば、オンプレミス環境と同様、安全に使用できる
・セキュリティに強いクラウドサービス事業者を選ぶ基準として、ISO国際規格の取得や第三者機関から評価を得ていることなどがあげられる
・利用者側が実践すべきセキュリティ対策としては、多要素認証、ゲストユーザーや権限設定の見直し、ログ監視などがある
==========================================
クラウドサービスを通じたセキュリティ被害から、組織や自身の個人情報を守るための対策は、今や企業・組織における重要な課題の1つです。
総務省が公開している「セキュリティガイドライン」や、本記事で紹介したセキュリティ対策なども参考に、自社のクラウド環境におけるセキュリティ課題の洗い出しと、対策を進めていただければ幸いです。
またエムオーテックスでは、中小企業の情報システム担当者1,000名を対象に『クラウドセキュリティに関する実態調査』を行いました。
・クラウドサービスに対して、セキュリティ対策は行えているか?
・監査ログによる定期チェックや監視は行えているか?
・過去、クラウド経由でどういったインシデントが発生したか?
などの情報をレポートにまとめています。ぜひ自社のクラウドセキュリティ対策の参考にご活用ください。
関連する記事