クラウドサービスに潜むセキュリティリスクの現状と対策

技術の発展や高速インターネット通信環境の普及により、多くの企業がクラウドサービスを活用するようになりました。一方で、クラウドにおけるセキュリティ対策の理解は十分深まっているとは言えない状況です。この記事では、クラウドサービス利用におけるセキュリティリスク、さらに現状の課題と対処法について解説します。

クラウドサービス特有のセキュリティリスクとは?

これまでにクラウドサービスを利用していない企業がクラウドに移行するにあたっては、従来のセキュリティ対策だけでは十分ではありません。注意しなければならないセキュリティリスクとして、クラウド特有のものも存在するからです。
この章では、クラウドサービス導入・運用時に注意したいセキュリティリスクについて解説します。

自社の対策が及ばない部分が存在する

まず知っておきたいことは、「自社だけでセキュリティ対策が完結しない」という点です。クラウドサービスを利用する際には、システム設計が既に構築されたサービスを利用する形をとります。このため、セキュリティ対策の一部をどうしても外部のセキュリティ事業者に委ねなければならないのです。

仮想化・分散化によるリスク

以下のような点において、クラウドサービスでは仮想化(物理的に少数のPCを多数のPCにように利用できる技術のこと)や分散化(ひとつの処理を多数のPCに分けて処理すること)にまつわるリスクが存在します。

  • 1台のPCに複数のサービスを気軽に導入できること
  • 1つのサービスに多数のユーザーのネットワークが接続されること
  • 1台のインシデントに多くの環境が影響を受けてしまうこと
  • 社内外・地域・経由などを問わず、どこからでも機密データにログインできてしまうこと
  • 侵入のような異常がどこかで発生した際に、企業側での察知・調査が迅速にできないこと

クラウドサービス利用におけるセキュリティ課題の現状

クラウド特有のセキュリティリスクが存在することを踏まえた上で、ここからは具体的な課題について見ていきましょう。

外部からのアカウント侵害に関するリスク

最初に考えられるのは、悪意を持った第三者が侵入するリスクです。クラウドサービスを利用している環境では、原則として場所やデバイスに関係なく機密情報へのアクセスが可能です。具体的に不正アクセスとアカウントの乗っ取りが挙げられます。

不正アクセス

クラウドサービス提供者のアクセス制限が脆弱な場合、第三者やクラウドサービスの他の利用者が、ネットワーク内に不正アクセスするリスクがあります。

アカウントの乗っ取り

アカウントの乗っ取りとは、悪意のある攻撃者が企業内の機密情報にアクセスし、悪用されてしまうことです。フィッシング詐欺やID・パスワードの盗み見などにより、不正アクセスにつながるリスクがあります。

内部の人的原因によるセキュリティリスク

外部からの攻撃だけでなく、内部からの人的原因によるセキュリティリスクについても注意が必要です。

人的原因による情報漏洩

悪意、もしくは不注意によって、ID・パスワードやネットワーク内部の機密情報が外部に流出したり、持ち出されたりするリスクが存在します。

個人所有のデバイス経由での不正アクセスやマルウェア感染

BYOD(Bring your own deviceの略。スマートフォンやタブレットなどプライベート端末を業務目的で利用すること。)を活用している企業では、セキュリティ意識の弱い個人の端末を経由してマルウェアに感染するリスクがあります。

クラウドサービス内に存在するセキュリティリスク

クラウドサービス内に存在するセキュリティリスクについても理解しておきたいところです。これらのリスクは、自社のコントロールが効かない部分です。

脆弱性への不十分な対応

クラウドサービスのセキュリティに脆弱性(不具合やセキュリティ上のミスによるセキュリティ上の欠陥)が生じることがあります。脆弱性への対応が放置された場合、クラウド内の情報が常に危険にさらされている状態になってしまいます。

データ消失

クラウドサービスに保存したデータが、サーバーの不調や外部からの攻撃などにより失われてしまうリスクも存在します。

外部からのクラウドサービスの悪用

クラウドサービスと見せかけた悪意のサイトにアクセスすることで、自社のPCが第三者へのサイバー攻撃をしてしまったり(DDoS攻撃)、マルウェア感染により自社の情報を漏洩させてしまったりするリスクも存在します。

クラウドサービス利用時のセキュリティ対策の考え方

適切な措置によって、クラウドサービスに存在するリスクを大きく削減することが可能です。ここでは、クラウドサービス利用時のセキュリティ対策の考え方について解説します。

クラウドサービスの適切な利用

クラウドサービスを適切に利用するためには、利用目的・必要な機能・取り扱う情報の重要性などを明確に洗い出し、自社にとって最善のクラウドサービスの選定、運用ルールの作成をすることが重要です。

クラウドサービスの運用ルールを定義する

2019年にNPO日本ネットワークセキュリティ協会が公表した「2018年情報セキュリティインシデントに関する調査結果」によると、紛失・置き忘れ(26.2%)、誤操作(24.6%)、管理ミス(12.2%)、内部犯罪(2.9%)、目的外使用(0.7%)、不正な情報持ち出し(2.3%)など、人的な原因での情報漏洩が大きな割合を占めています。これらのリスクに対処するためには、アクセス権限の適切な決定、認証機能の利用、バックアップやデータの保存先、ログ管理に関するルール作りなどが有効です。

ログインID・パスワードの管理を徹底する

便利なクラウドサービスが多数登場したのは企業にとってメリットである反面、複数のサービスを導入すると、その数だけログインIDとパスワードを管理するという負担がユーザー側に生じてしまいます。
結果的に複数のクラウドサービスに同じパスワードを使用したり、ノートやPC端末内にパスワードをメモしたりするなどのセキュリティ対策上、望ましくない対応がとられていることも少なくありません。あるいは、パスワードを忘れてしまい、必要な時にサービスにログインできないという事態もよく見られます。
そこでID・パスワードの管理方法になりうるのがシングルサインオン(SSO)です。SSOを利用すると、一度の認証で複数のクラウドサービスにログインすることができます。セキュリティリスクを低減すると同時に、業務効率を高めるツールと言えるでしょう。

かもめエンジニアリングでは、SSOソリューション「KAMOME SSO」で、SSOサービスを提供しております。

アクセス制限

IDとパスワードさえあれば、どこからでも機密情報にアクセスできるという状態は、企業にとって好ましい状況ではありません。アクセス制限を設けることで外部の人間による情報漏洩を未然に防ぐことができます。例として、クライアント証明書の利用による制限や、接続元IPアドレスの制限、接続時間帯の制限などが挙げられます。このように、「認可」を強化することも効果的です。

かもめエンジニアリングは、認可を強化するゼロトラスト接続サービスKeygatewayC1を提供しております。

ネットワーク全体を俯瞰したセキュリティ対策

利便性の高さやBPO(災害時の事業継続性の確保)などの意味合いから、クラウドの利用はますます増えています。「クラウドは、自社でサーバーやネットワークを構築するよりもセキュリティ対策が強固である」と言われることがありますが、あくまでもそれは一面に過ぎません。クラウドには特有のセキュリティリスクが存在しており、とりわけ不正なログインや情報へのアクセスについて注意しうる必要があります。社内のルールづくり、SSOの導入など、社内でもできるセキュリティ対策について、今一度見直してみてはいかがでしょうか。

事業・商品・サービスに関するお問い合わせ

製品に関するお問い合わせはこちら

※フリーメールでのお問い合わせは受け付けておりません。

必須
必須
必須
必須
必須
必須
必須