セキュリティー対策の第1歩はクラウドサービスをよく知ること
クラウドサービスがインターネットに接続しているため、セキュリティーが著しく低いと考えるのは早計です。クラウドサービスでも、必要なセキュリティー対策を施し正しく運用することで、安全に利用することが可能です。そのためには、まずクラウドサービスをよく知っておく必要があります。
メリットとデメリットを理解して運用する
クラウドサービスのメリットは、いくつか考えられます。まず、インターネット接続さえあればどこからでも必要な情報にアクセスできることです。
クラウドサービスを採用することで、オンプレミスでは必要だったITリソースをアウトソーシングできます。導入までの期間が短く、初期コストを抑えることができ、ユーザー管理や規模拡張も容易になります。ほかにも、複数拠点にデータを分散させる冗長化によって、災害復旧(ディザスタ・リカバリ)やBCP(事業継続計画/Business Continuity Plan)対策も立てやすいことも挙げられます。
デメリットは、先に挙げた懸念のとおり、インターネット通信を利用するリスクです。セキュリティーが甘いと、どこからでも盗聴・ハッキングされる恐れがあります。また、クラウドサービスのデータセンター障害が起きると、自社側に問題が無くても作業が続行できなくなります。
データを守るためのアクセス制御
インターネットから遮断すれば情報流出や外部からの攻撃は防ぐことができます。しかし、アクセス効率やUSBメモリへのバックアップなど作業効率を上げてしますこともあります。そのためには、個人ごとのアクセス制御することで機密性を保ち、改ざんや削除からデータを守るように設計することが大切になります。
SaaSとPaaS/IaaSで異なる対策
クラウドサービスは利用形態によって、SaaS(Software as a Service)とPaaS(Platform as a Service)、IaaS(Infrastructure as a Service)に分類されます。
SaaSはクラウド上にあるソフトウェアを利用するサービスで、メールやオフィスソフトなどさまざまな形態があります。PaaSは主にアプリケーション開発環境などで使われ、提供されたプラットフォーム上で独自のソフトウェアを動かすことができます。IaaSはPaaSをより柔軟にしたタイプで、ネットワーク機器やサーバーなどのコンピューティングリソースを必要なときに必要なだけ利用できます。
ここで重要なのは、上記3種において利用者側とクラウドサービスで責任を持つ範囲が違うことです。これは「責任共有モデル」と呼ばれていますが、SaaSではデータのみを、PaaSではデータとソフトウェアを、IaaSではこれらに加え、ミドルウェアやOSを含めて利用者が責任を持って管理します。IaaSでは、OSのセキュリティー対策までしっかりやらなくてはならないので責任は重大です。一方で、SaaSはOSやソフトウェアなどのセキュリティー対策は不要で、主にログイン認証に関するセキュリティー強化に集中すればよいことになります。
クラウドサービスでセキュリティーを確保するには
SaaSとPaaS、IaaSで詳細な対応は異なりますが、ここでは、主にSaaSで有効である基本的なセキュリティー対策を考えてみます。社員個人の裁量に任せるのではなく、ルールを作成して確実に実行することが重要です。
ログイン認証をしっかり守る
クラウドサービスでは、ユーザーアカウントのログイン認証をしっかり守ることが重要です。不正ログインさえ防ぐことができれば、ほぼ安全に利用することができます。
パスワードはアルファベットの小文字と大文字、数字、記号をすべて使い、推測しづらいランダム文字列を用いましょう。桁数は極力長く、最低でも20文字以上あると安心です。パスワード生成ツールを利用するとよいでしょう。平易なパスワードに変更できないように、管理者側でコントロールすることも重要です。
同時に、多要素認証をアカウントに必ず設定します。生体認証デバイスを搭載したPCでログインしたり、ワンタイムコードを生成するスマートフォン向けアプリを活用するなど、複数の認証方法をかけあわせることで、セキュリティーを高めることができます。
クラウドサービスの選定時には、上記の複雑で長い文字列、および多要素認証のログインに対応したサービスを選ぶことが重要です。また、シングルサインオン(SSO:Single Sign On)と呼ばれるログインサービスを別途導入することを検討してもよいでしょう。
クラウドサービスの利用時の工夫
クラウドサービスを活用していくなかで、セキュリティー対策として気をつけたいことをいくつか列挙してみましょう。
ユーザー権限は、すべての操作権限がある管理者と、編集可能ユーザー、閲覧のみ可能ユーザーなど、社員の作業内容に合わせて適切な権限付与をしましょう。管理者は新規ユーザーの追加も可能ですが、やたらと管理者権限を付与することは避けましょう。退職した社員のアカウントは、すみやかに削除するか、引き継ぐ社員にアカウントを移行し、パスワードと多要素認証を変更しておきます。
機密情報に関しては、万一の漏洩に備えてデータをクラウド上で暗号化しておきます。ユーザー側で圧縮してパスワードをかけておくのが一般的ですが、クラウド上でファイルの暗号化機能を持っているクラウドサービスもあります。暗号化と復号の処理はゲートウェイを通して自動処理されますので、多少処理速度に影響は出ますが、使い勝手は変わらずに暗号化処理ができます。
インターネット接続の通信も暗号化しておくようにします。ほとんどのクラウドサービスはSSL暗号化(httpsプロトコルでの接続)に対応していますので、ブラウザを使ったサービスへの接続間が暗号化されています。ブラウザの利用以外では、接続区間にVPNを利用することもあります。
利用者と管理者双方のセキュリティー意識向上が必要
IT技術の進化とともにハッキングのテクニックも進歩していきます。セキュリティー対策は、一度設定すれば未来永劫機能するものではなく、技術の進化に応じて見直していくことが重要です。
管理者が利用者のセキュリティー意識を高める
セキュリティートレンドを定期的にチェックする機会や、知識をアップデートする体制や仕組みを作り、社員のセキュリティー意識を日常的に高めておきます。
クラウドサービスを使うときは、すべてクラウド内で完結させデータを持ち歩かないようにします。どうしてもPCのローカル環境にデータを保存して使う場合には、紛失時に備え、遠隔操作や端末へのログイン試行が一定回数を超えたら、端末内のデータを自動消去するように設定し、紛失時に備えておきましょう。
データのバックアップは定期的に行う
データを復旧させるために、データバックアップは必要な作業です。クラウドに対してバックアップ行う場合には、データが保存されているデータセンターから物理的に離れた地域のデータセンターを選びましょう。これにより機械障害だけでなく、自然災害など特定地域で起こるリスクを分散させることが可能になり、BCP対策としても有効です。
バックアップデータへのアクセスもセキュリティー対策を保っておきます。データは暗号化したイメージバックアップでとっておき、通常時には管理者以外の社員はアクセスできないようにしておくとよいでしょう。
管理者は最新のセキュリティー情報を知っておく
管理者は最新のセキュリティー情報を知っておくことも重要です。各種機関からの情報をこまめに得るようにするとよいでしょう。
基本的な情報としては、総務省がセキュリティー指針を掲げている「国民のためのサイバーセキュリティーガイド」や、独立行政法人情報処理推進機構 IPAも、中小企業向けに情報セキュリティー対策ガイドラインを提示していて、定期的に改訂をしています。
正しくセキュリティー対策をしてクラウドサービスを便利に使う
クラウドサービスは、提供するサービス業者によって機能も安全性も異なります。その選択からセキュリティー対策は始まっていると考えて導入を検討しましょう。
クラウドサービスのセキュリティー対策のポイントは、不正ログイン対策です。ログイン認証の徹底や適切な権限付与を管理しつつ、利用者にはセキュリティー意識を高めてもらう働きかけを継続することで、クラウドサービスのメリットを効果的に業務に取り入れていくことができます。
