クラウドセキュリティの基本~利用企業はどのようなセキュリティ対策を行うべき?~

クラウドセキュリティの基本~利用企業はどのようなセキュリティ対策を行うべき?~

クラウドのセキュリティは安心?それとも不安?

総務省が発表した令和元年度の情報通信白書によると、クラウドサービスを一部でも利用している企業の割合は、ここ数年で50%を超え、大きく増加しています。

クラウド活用による「所有から利用」への変化は、利用者に対して以下のようなメリットをもたらします。

  • 迅速かつ柔軟なリソースの調達
  • モバイル端末やリモート環境からのアクセスを実現
  • システム管理負担の軽減
  • システムの安定運用
  • セキュリティの強化

中でも、セキュリティの強化については、クラウド事業者によって施される大規模で集中的なセキュリティ投資を、利用者全体で共有することによるスケールメリットが大きいため、今では多くの主要なクラウド事業者が高セキュリティを特長の一つとしてアピールしています。

ところが、セキュリティのためにクラウド導入を進める利用者がいる一方で、未だに1/3の企業が「クラウドサービスを利用しない理由」としてセキュリティへの不安を掲げるなど、クラウドのセキュリティ不安を訴える声も多く存在します。 このようなギャップはなぜ起こるのでしょうか?

クラウドセキュリティの基本は「責任共有モデル」

このようなギャップを説明する上で、クラウドにおけるリスクマネジメントの考え方として広く知られているのが、「責任共有モデル」という考え方です。

特に企業におけるクラウド利用では、クラウド事業者との契約における事業者側の役割と責任を理解した上で、クラウド利用企業としてのリスクマネジメントを行う必要があります。

例えば、IaaS(Infrastructure as a Service)というサービス形態であれば、ハードウェアなどの物理的なリソースは事業者が提供しますが、仮想マシンや仮想ネットワークなどの管理は利用者側の責任範囲となります。

また、SaaS(Software as a Service)というサービス形態であれば、提供するアプリケーションも含めて事業者側の責任範囲となる一方で、クラウド上で扱われるデータの管理については利用者の責任範囲であることが一般的です。

クラウド利用企業は、このような責任範囲の境界を理解し、必要なセキュリティ対策を施すことが必要となります。

クラウド利用企業によるセキュリティ対策とは?

では、クラウド利用企業にとって必要なセキュリティ対策とはいったいどのようなものでしょうか?

まず、第一に考えるべきなのは、守るべき情報と、その重要度を明らかにすることです。

公開情報、社外秘の情報、顧客情報、個人情報など、守るべき情報の重要度によってインシデント発生に伴うリスクが変化することはもちろん、攻撃を受ける可能性や、従うべき法令が変わることも考慮する必要があります。

第二に、適切なクラウドサービスを選定する必要があります。
SLA(Service Level Agreement)などの契約条件やセキュリティ関連機能の実装状況など、クラウド事業者が提供する情報をはじめ、ISO27017などの認定資格の取得状況や、サービス変更リスク、ベンダロックイン回避など、様々な尺度でリスクを判定し、サービスを評価することが重要です。

クラウド利用企業は、上記の点を踏まえた上で、必要に応じて追加のセキュリティ対策を講じる必要があります。

例えば、二段階認証の導入や、サービスへのアクセス制御などは、サービスが提供する機能が不十分であれば、利用企業によって追加対策を行うことも可能です。既に導入済みのシングルサインオン環境との連携なども検討すべき選択肢の一つとなります。

また、アクセスログによってサービスの利用状況を収集してモニタリングを行うことも、不正利用の防止などのセキュリティ強化につながります。

完全なデータ保護を行うための手段としては、利用企業が管理する秘密鍵によるデータの暗号化や、データの匿名化などの方法が知られています。

セキュリティによるビジネス変革の実現を目指して

クラウド利用企業が追加のセキュリティ対策を行うためのツールとしては、NTTテクノクロスのTrustBindをはじめ、各セキュリティベンダからさまざまなソリューションが提供されています。

それらのソリューションは、特に、重要なデータを扱う分野を中心に、従来はクラウド化が難しかったビジネスをクラウド上で実現する可能性を秘めています。

より一層の安心・安全なクラウド利用環境の実現が、皆様の働き方改革やデジタルトランスフォーメーションなどのビジネス変革に貢献し、お役に立てれば幸いです。