目 次
クラウドセキュリティとは
セキュリティに強いクラウドサービスの選び方
国内クラウドサービスのセキュリティ被害事例
クラウドサービスを利用する企業が実践すべき、5つのセキュリティ対策
クラウドのセキュリティ課題を解決する「LANSCOPEソリューション」
まとめ
「クラウドセキュリティ」とは、ご利用中のクラウド環境において、データ保護や不正アクセスの防止を目的に行うセキュリティ活動のことです。
国内企業の7割以上がクラウドサービスを活用する昨今、利便性が向上する一方で、クラウドサービスを狙ったセキュリティ被害も深刻化しています。外部脅威から自社を守るためにも、企業は自社のセキュリティ対策を再度見直し、安全性の高いセキュリティ環境を構築する必要があります。
この記事では、クラウドセキュリティに関する以下の情報を解説します。
- クラウドを狙った、国内のサイバー攻撃事例
- セキュリティに強いクラウドサービスの選び方
- クラウドサービス利用時に知っておきたい、5つのセキュリティ対策
- クラウドに特化したセキュリティソリューションの紹介
クラウドセキュリティとは
クラウドセキュリティとは、「クラウド環境における情報セキュリティ対策」を指す言葉です。不正アクセスによる情報漏洩や機密データの持ち出しといったクラウド独自のセキュリティ事故の高まりを受け、昨今では国内全体で企業のクラウドセキュリティへの取り組みが重要視されています。
令和4年、総務省が発表した「情報通信白書令和4年版」によれば、調査に参加した国内企業2,396社のうち、70.4%が「クラウドサービスを導入している」と回答しました(2021年時点)。
また「今後クラウドサービスの利用を予定している」と答えた9.8%の企業を合わせると、将来的には、全体企業の約8割がクラウドサービスを導入することとなります。
参考:総務省│情報通信白書令和4年- 22. クラウドサービスの利用状況
さらに、市場調査コンサルティング「MM総研」が国内企業33,922社に行った調査によると、今後もクラウドサービスの市場規模は年々拡大し、2026年には市場規模が約7.4兆円に達すると予測されています
【データ1】国内クラウドサービスの市場規模の推移と予測
参考:MM総研│国内クラウドサービスの市場規模は3.5兆円に拡大
このように、今後も市場拡大が予想されるクラウドサービスですが、普及に伴いクラウド経由でのセキュリティ事故や、クラウドの脆弱性をついた悪質なサイバー犯罪も発生しています。情報漏洩をはじめとした深刻なリスクを防止するためには、クラウドサービスへの強固なセキュリティ対策が求められています。
総務省の「クラウドセキュリティガイドライン」とは
クラウド環境下でのサイバー攻撃被害の増加に伴い、総務省より「クラウドセキュリティガイドライン」が発行されています。
当ガイドラインは、政府や専門機関から集めた専門家の監修によって作成されており、クラウドサービスにおけるセキュリティ基準や対策ノウハウがまとめられています。
クラウドはオンプレミス環境に比べセキュリティが脆弱なのか?
オープンネットワーク上でサービスを利用する性質上、「これまでの独自サーバー環境と比べ、クラウドはセキュリティが脆弱なのではないか?」と思われがちですが、「クラウド=セキュリティリスクが高い」は誤った認識です。
特に昨今ではクラウドサービスのセキュリティ管理力が向上しており、提供するベンダーのセキュリティ体制が強固であれば、独自サーバー環境と同様、安全にサービスを利用できます。
一方、オンプレミス環境には無い、クラウドサービス独自のセキュリティ面での「懸念」としては、下記のような点が挙げられます。
1.クラウドサービス事業者の障害などで、データが消失するリスクがある
2.クラウドサービス事業者へのサイバー攻撃や設定ミスにより、データが外部に漏洩する
3.クラウドサービスのアカウント等の認証情報が第三者に悪用される
これらの課題を解決するため、クラウドサービスを選択する際は、「実績数が多く信頼の高い」企業を選定することが重要です。
また、クラウドサービスを企業で導入する際は、権限設定や招待などの運用ルールを定め、従業員に規則やポリシーを順守した使用を徹底させる必要があります。
セキュリティに強いクラウドサービスの選び方
先述のとおり、自社のクラウド環境にてセキュリティ品質を担保するには、そもそもセキュリティ管理を徹底した信頼できる提供元を選ぶことが大切です。
セキュリティに強いクラウドサービスを選定するために、参考になる要素は次の通りです。
- ISO/IEC 27001国際規格を取得している
- ITreview評価など、第三者から評価を得ている
- 詳細なアクセス権限の設定を行える
- 多要素認証やデータの暗号化に対応している
- ユーザー側の操作でファイルを復元できる
例えば、情報セキュリティマネジメントシステム(ISMS)に関する国際規格「ISO/IEC 27001」の認証を取得している企業であれば、セキュリティ対策を十分に行っている企業であると判断できます。また、「ITreview」でリーダーに選ばれるなど、第三者によって「優れた製品」と認められていることも、クラウドサービス選びの基準として有効です。
機能面では、詳細なアクセス権限を設定できることや、2段階認証・データの暗号化に対応していること、ユーザー側の操作でファイルを復元できることなども、判断するポイントです。
国内クラウドサービスのセキュリティ被害事例
実際に国内企業で発生した、クラウドサービスに起因するセキュリティ被害の事例を、2種類ご紹介します。
1. Microsoft 365 への不正アクセスで2万件の機密データが流出した事例
2.インフラ企業の子会社にて、ファイル転送時に149万件の情報が流出した事例
1. Microsoft 365 への不正アクセスで2万件の機密データが流出した事例
| 被害企業 | 大手電気メーカー |
|---|---|
| 時期 | 2019年6月 |
| 対象クラウドサービス | 「 Microsoft 365 」への不正アクセス |
| 被害内容 | 防衛関連の情報のデータファイル、約2万件が流出。サイバー攻撃で国家安全保障に関わる情報漏洩が発生した初のケース。 |
国内の大手電気メーカーにて、2019年に新たに導入したマイクロソフト社のクラウドサービス「Microsoft 365 」への不正アクセスによって、防衛関連のデータ含む約2万件の機密データが流出した事例です。
流出したデータのうち、59件が安全保障に影響を及ぼす危険性が示唆されたことから話題となりました。
この事件の原因は、中国にある同メーカー子会社にて脆弱性を狙った不正アクセスが発生し、悪意ある第三者より、従業員のアカウント情報を盗み取られたことです。
犯人は盗み取った従業員のアカウント情報で Microsoft 365 のクラウドサービスへ侵入し、クラウドサービスおよび関連サーバーを攻撃。最終的に機密データを窃取したと考えられています。
2.インフラ企業の子会社、ファイル転送時に149万件の情報流出
| 被害企業 | 大手インターネット事業者 |
|---|---|
| 時期 | 2020年12月 |
| 対象クラウドサービス | クラウド型営業システムの「セキュリティ設定」不備 |
| 被害内容 | 防衛関連の情報のデータファイル、約2万件が流出。サイバー攻撃で国家安全保障に関わる情報漏洩が発生した初のケース。 |
大手インターネット事業者では、契約していたSaas系のクラウド型営業管理システムへの不正アクセス被害により、約149万件の顧客データが漏洩しました。クラウドシステムのセキュリティ設定に誤りがあり、社外から第三者によるログインが可能になっていたことが原因です。
流出した可能性がある情報としては、同社の法人向け資料を請求した、顧客企業の名称・住所(最大138万1735件)。また、事業者向けビジネスローンに申し込みを行った法人情報(最大1万5415件)や、その他の通信サービスに申し込んだ人の個人情報(最大8万9141件)の流出など、大きな被害となりました。
このように、十分な対策をせずクラウドサービスを利用することは、企業にとって大きなセキュリティ被害を招く要因となります。クラウド導入ではセキュアな環境を叶えるための、セキュリティ対策もあわせて実施することが欠かせません。
クラウドサービスを利用する企業が実践すべき、5つのセキュリティ対策
クラウドサービスの利用時、企業が実践すべき5つのセキュリティ対策をご紹介します。
クラウドセキュリティには「サービス提供事業者」と「利用者」それぞれの対策が考えられますが、今回は「利用者向け」の対策に絞ってご紹介します。
▼クラウド利用事業者向け、5つのセキュリティ対策
1.多要素認証を活用してユーザー認証を強化する
2.ゲストユーザーなど、外部のユーザーを管理する
3.外部への共有・公開関連の設定を確認する
4.監査ログを取得し、定期的に確認する
5.設定全般を定期的に見直す
1.多要素認証を活用してユーザ認証を強化する
1つ目の対策は、クラウドサービスへログインする際の「認証の強化」です。一般的にユーザー名とパスワードでログインするサービスが多いですが、パスワードの脆弱性を突いて悪用されたり、(先述したインシデント事例のように)パスワードの盗み見によってアカウントが乗っ取られたり、といった事故が多発しています。
対策としては、ずばり「多要素認証」を導入することおすすめです。多要素認証は、パスワード以外の要素を認証に追加することによって、認証時のセキュリティを強固にすることができます。
具体的に追加する認証要素としては、端末を限定するクライアント証明書や、物理的な別の媒体を利用するワンタイムパスワード、生体認証などがあります。自社でのクラウドサービスの運用によって、最適なものは異なりますので、自社の業務や運用を考慮した上で、どの要素を採用するか検討してください。
多要素認証の実装により、万が一パスワードが漏洩したり、盗み見された場合でも、不正アクセスを防ぐことができます。
2.ゲストユーザーなど、外部のユーザーを管理する
2つ目の対策は、ゲストユーザーなど「外部のユーザー」をしっかりと管理することです。
昨今のクラウドサービスでは、利便性の面から、外部のユーザーを招待し共同作業できるサービスが多くなっています。一方で、クラウドサービスのゲストユーザーは、情報漏洩などのインシデントが発生する原因の1つですので、社内の管理体制を整えることが重要です。
▼対策手順
1.まずは、ゲストユーザーの一覧を確認してみましょう。一覧に居るゲストユーザーが、どのような用途で自社のクラウドサービス環境に存在しているのか、一通り理解できているのであれば問題ありません。
2.次に、ゲストユーザーを招待する権限を持っている人が適切かどうかを確認してください。クラウドサービスによっては、「ゲストがゲストを招待できる」のような設定が可能なサービスも存在します。
招待した経緯が分からないユーザーは、ログを確認して、「誰が」「いつ」「どのような理由で」招待したのか、を確認して、不審なユーザーは削除しておくことを推奨します。
3.外部への共有、公開関連の設定を確認する
3つ目の対策は、外部への共有・公開関連の設定を確認することです。
外部への共有や公開機能は、クラウドサービスの利点の1つではあります。しかし、クラウド経由で発生する情報漏洩事故で最も多いのが、この「外部共有設定のミス」に起因するケースです。実際、「本来公開する予定ではなかった情報が誤って公開されていた」というような事故を、耳にした事はありませんか?
クラウドサービスによって設定箇所や設定方法は異なりますので、不安があれば必ずサポートに確認を取って、自社の「意図している設定になっているか」を確認してください。
4.監査ログを取得し、定期的に確認する
4つ目の対策は、監査ログなどのログを取得し、定期的に確認することです。
クラウドサービスによって、ログで取得できる情報や、保存期間などの仕様は様々です。
重点的に確認するポイントとしては、主に以下の部分になります。
- ログイン情報など、認証に関するログ
- ゲストユーザーの招待に関するログ
- 外部への共有リンクの発行など、外部共有に関するログ
これらの情報を1か月に1度など定期的に確認し、不審な情報があった場合は早めに調査・対策を打っておく事が重要です。
実際に事故やインシデントが発生してしまった場合でも、いつ・誰が・どのような操作を行ったのか、調査を行うためにログが必要となります。保存期間などの仕様は事前に確認し、必要に応じてログを外部保存しておくことも検討してください。
また「監査ログを取得している」ことを従業員に周知することで、「不審な操作を行えばすぐ特定される」という危機意識が定着し、内部不正の抑止力となる効果も期待できます。
5. 設定全般を定期的に見直す
5つ目の対策は、利用しているクラウドサービスの設定全般を定期的に見直すことです。
クラウドサービスは更新・バージョンアップの頻度が高く、新しい機能やサービスが次々とリリースされます。例えば、新しい機能がリリースされた時、デフォルトの設定のまま使用してしまうと、そのままデータが外部に公開されてしまうなど、危険な状態になっている場合があります。
また、一時的な作業や検証のために設定を変更したまま、戻すのを忘れていた為にインシデントが発生してしまうというケースもあります。実際、本記事で紹介した「クラウド型営業システム」にて情報漏洩が発生した事例も、クラウドの設定不備により悪意ある第三者に侵入されたことが要因でした。
自社で設定を見直すのが難しい場合、診断サービスなどを利用し、専門家に依頼することも1つの有効な手段です。診断サービスを申し込むことで、自社のクラウド環境の脆弱な部分、不適切な設定を明らかにすることが可能です。
クラウドのセキュリティ課題を解決する「LANSCOPEソリューション」
LANSCOPEでは、貴社のセキュアなクラウド環境構築をお手伝いする、強力なセキュリティソリューションを提供しています。
1.Microsoft 365 関連サービスの「不正アクセスや操作」を明らかにするツール
2.クラウドサービス環境の「設定不備や課題」を明らかにする、診断サービス
それぞれの観点から、2種類のLANSCOPEソリューションをご紹介します。
1. Micorosoft 365 のセキュリティ対策に特化した LANSCOPE セキュリティオーディター
先程記載したセキュリティ対策のうち、「監査ログを取得し、定期的に確認する」対策に最適なのが、 Microsoft 365 のユーザー操作を「見える化」する、「LANSCOPE セキュリティオーディター」です。
Microsoft 365 の監査ログ取得により「誰が・いつ・何の操作をしたか」を、管理画面上で瞬時に把握できるのが特徴です。
また、組織外ユーザーへのファイル共有・外部ユーザーのクラウド招待など、従業員の不審な操作を検知すると、管理者・当人の両方へアラートで通知します。不審な動きをすぐに検知し、情報漏洩に繋がる操作を阻止することが可能です。
2.自社クラウド環境のセキュリティ課題を調査する LANSCOPE プロフェッショナルサービス
先述したセキュリティ対策のうち、「設定全般を定期的に見直す」対策に最適なのが、契約中のクラウドサービスにて、セキュリティ課題を明らかにする「クラウドセキュリティ診断サービス」です。
経験豊富な当社のエンジニアが、契約しているクラウドサービスの設定不備を発見し、攻撃を受けるリスクの診断や改善策の提案を行います。会社全体のポリシーを基準に是正を行う際など、クラウド環境の現状把握に活用。
▼セキュリティ診断対象のクラウドサービス
| SaaS セキュリティ診断 | IaaS セキュリティ診断 |
|---|---|
|
・Microsoft 365 診断 ・Google Workspace 診断 ・Zoom 診断 ・Box 診断 ・Salesforce診断 ・Slack診断 |
・Amazon Web Services(AWS)診断 ・Microsoft Azure 診断 ・Google Cloud Platform(GCP)診断 |
まとめ
クラウドサービスのセキュリティの、重要性や対策内容について解説しました。
本記事のまとめ
- クラウドセキュリティとは、クラウド環境における情報セキュリティ対策のことであり、国内企業の7割以上がクラウドサービスを活用している
- クラウド環境=セキュリティが脆弱という認識は誤りで、信頼できる事業者を選べば、オンプレミス環境と同様、安全に使用できる
- セキュリティに強いクラウドサービス事業者を選ぶ基準として、ISO国際規格の取得や第三者機関から評価を得ていることなどがあげられる
- 利用者側が実践すべきセキュリティ対策としては、多要素認証、ゲストユーザー、外部公開の部分を重点的に見直す必要がある。/li>
- 各種設定やログの情報を定期的に確認する運用が必要/li>
クラウドサービスを通じたセキュリティ被害から、組織や自身の個人情報を守るための対策は、今や企業における重要な課題の1つです。
総務省が公開している「セキュリティガイドライン」や、本記事で紹介したセキュリティ対策なども参考に、自社のクラウド環境におけるセキュリティ課題の洗い出しと、対策を進めていただければ幸いです。
