クラウドサービスの利用により情報漏えいのリスクはあるのか?|セキュアエッジ株式会社ー新時代のネットワーク・セキュリティソリューションー
クラウドサービスの利用により情報漏えいのリスクはあるのか?
最近では、クラウド化という言葉をよく耳にするようになりました。
オフィスワークの中でクラウドを使った作業は年々増加しており、今やクラウドサービス抜きでは、業務運営ができないという程に広く浸透しています。
一方、便利な反面、情報漏えいなどクラウドサービスが持つリスクの認識も必要です。本記事では、クラウドサービス利用に際してのリスクと対策方法を紹介します。
クラウドサービスとは
クラウドサービスとは、コンピューターのストレージや、アプリケーション、ソフトウェアをインターネットなどのネットワークを介して利用するサービスの総称です。
以前は、システム構築やデータ保存、ソフトウェアを利用する際などに、ユーザーがダウンロードして入手し、管理する必要がありましたが、クラウドサービスの登場により、多様なサービスが自分で管理をしなくても、初期投資や運用工数を気にせず手軽に利用できるようになり、ストレージ管理からも開放されました。
クラウドサービスは主に、パブリッククラウドとプライベートクラウドに分けられます。
パブリッククラウドは、クラウドを提供するサービスプロバイダーが利用者を限定せずに、インターネット上で広くサービスを提供しています。CPUやメモリ、ストレージなどのリソースは不特定多数のユーザーによって共有されます。一般的にクラウドと呼ばれるものはパブリッククラウドを指していることが多く、Google DriveやAWSなどがパブリッククラウドとして有名です。
プライベートクラウドは、特定のユーザーが環境を専有して利用するクラウド環境です。ユーザー独自で構築するケースや、クラウドサービスプロバイダーが専有環境を構築するケースもあります。
クラウドサービスの利用は情報漏えいリスクがある
クラウドサービスは、インターネット環境を介して、どこからでも利用できるメリットがある反面、サイバー攻撃の対象になるリスクもあります。
リスク① ログイン情報の流出
クラウドサービスは、データがクラウド上に保存されており、パスワードやIDなどのログイン情報が漏えいしてしまうと誰でも閲覧でき、データを取り出すことができるようになってしまいます。
不正アクセスによる情報漏えいはもとより、従業員や関係者による情報投取の恐れもあるということを認識しておく必要があります。
リスク② シャドーIT
シャドーITとは、企業が使用許可をしていない、あるいは企業側が把握できていないデバイスやシステム、クラウドサービスを従業員が利用することを指します。つまり、管理対象外のデバイスやサービスのことです。
シャドーITの利用は、情報漏えいやアカウント乗っ取りのリスクがあります。また、管理外のデバイスを企業内の無線LANなどに接続した際、ネットワーク全体が脅威にさらされる可能性もあります。
そもそも、シャドーITが利用されるのは、従業員が業務上で許可されているデバイスやサービスに不便を感じているからです。ガイドラインを設けたり、シャドーITを使わなくてもよい環境を作ることが大切です。
リスク③ 不適切なアクセス管理や設定ミス
社内のセキュリティ環境によるリスクもあります。
強力な権限を持つアカウントが適切に管理されていなかったり、2要素認証・多要素認証の未導入によって、アカウントが乗っ取られ、不正利用される可能性があります。
また、ストレージやデータベースの公開設定ミスや不要なポートの解放、ファイアウォール設定の不備により、データが不正アクセスされるリスクもあります。
情報漏えいした場合の責任の所在は?
クラウドサービスを利用している時に情報漏えいが発生した場合、責任の所在はクラウドサービスの運営側、もしくはユーザー側、どちらになるのでしょうか。
ユーザーに落ち度がない場合、責任の大半はクラウドサービス運営会社にあるように思えますが、実際にはサービス提供されている内容によって責任の所在が異なる責任共有モデルが採用されています。
クラウドサービスには、クラウド上のサービスを利用するSaaS、開発フレームワークを利用するPaaS、インフラを丸ごと利用するIaaSなどさまざまな形態があり、サービスの種類によりユーザーの責任範囲は異なっています。IaaSが最もユーザーの責任範囲が大きく、「ユーザーデータ」「アプリケーション」「ミドルウェア」「OS」がユーザーの責任範囲です。仮想OS上で動作するゲストOS、ゲストOS上で動作するミドルウェアやソフトウェアはもちろん、安全にアクセスするためのネットワーク、ファイアウォール構成などのセキュリティ対策のほか、データやサーバーの暗号化、ネットワークトラフィックの保護など、オンプレミスサーバーと同等のセキュリティ対策が必要となります。
クラウドサービス利用時の情報漏えいに備えたセキュリティ対策
クラウドサービスを利用する時に抑えておきたい、情報漏えいへの対策を以下4つのポイントにて紹介します。
対策① 通信データの暗号化
クラウドサービスは不特定多数のユーザーが利用するサービスであり、且つインターネットを介したデータ通信を行います。
通信中に第三者によってデータを盗聴される可能性は考慮しておきましょう。
特にWi-Fiの場合は通信傍受のリスクがより高まります。データの盗み見を防ぐ有効な手段は通信データの暗号化です。暗号化されていると、仮に盗み見された場合でも内容まで読み取られることはありません。SSL通信は必須とし、Wi-FiではWPA2など高度な暗号化の仕組みが必要です。
対策② 多要素認証や厳重なアクセス管理
ワンタイムパスワードや、多要素認証と生体認証の組み合わせを活用し、厳格な認証方式を導入しましょう。多要素認証を活用する時点でセキュリティレベルは大幅に向上します。
ポイントは、選ばれた人だけアクセスできる環境を整えることです。アクセス権限は、従業員ごとに制限設定を行うことが大切です。
対策③ アプリケーションやOSの脆弱性を解消する
アプリケーションやOSに脆弱性があると、ピンポイントなサイバー攻撃によってウイルスやマルウェアに感染してしまうリスクがあります。
環境を構築するときに、セキュリティに万全を期しておきましょう。また、更新プログラムを常に最新の状態に保っておくことも大切です。
対策④ 適切なクラウドサービス運営会社を選ぶ
クラウドサービスを提供する事業者は、大手のITベンダーから中小事業者まで様々です。
事業規模や予算なども大切ですが、最も重視すべきポイントはセキュリティやフォロー体制の充実です。
セキュリティやデータの安全性において、事業者ごとに差がありますので、よく検討するようにしましょう。
まとめ
クラウドサービスは、ネットワークを介して多くの人が利用するサービスです。不正アクセスなどを起因として、情報漏えいのリスクは常に付きまといます。
今やクラウドサービスがなくては日々の業務はできない、という程に便利で浸透していますが、利用の際はユーザー側が負うリスクを十分に理解しておきましょう。
自社のセキュリティにご不安がある場合は、お気軽に弊社へご相談ください。