クラウドサービスはその利便性の高さから、現在多くの企業で利用されています。

ただし、利用時のリスクやセキュリティ対策につき、詳細まで把握されている方は少ないのではないでしょうか。

本コラムでは、「クラウドセキュリティとは何か」といった概要説明からはじまり、利用時のリスクや具体的な対策方法などにつき詳しく解説します。

クラウドセキュリティとは？

クラウドセキュリティの概要

クラウドセキュリティとは、クラウド環境でのリスクに対するセキュリティ対策を指す言葉です。

セキュリティ対策には、機密データをサイバー攻撃から保護するためのツールや技術、ポリシー、各種認証などが含まれます。

企業がクラウドサービスを利用する際、クラウドセキュリティ対策は不可欠な経営課題として考えられています。

どのようなリスクがあるのか？

クラウドセキュリティ対策を実施しない場合、企業にとってどのようなリスクがあるのでしょうか。以下に主なリスクをご紹介します。

情報漏洩

クラウドサービスでは、外部サーバにデータが保管しているため、データセンターへの不正アクセスなどにより、機密データが外部に流出してしまう恐れがあります。仮に顧客の個人情報などが漏洩した場合、企業の信用は瞬く間に失墜し、今後の事業継続が危ぶまれる事態に陥る可能性もあります。

情報漏洩の防止に向けてクラウドサービスを利用する際は、対象サービスが「サイバー攻撃に耐えられる高度な安全性が確保されているか」につき、充分に確認するようにしましょう。

データ消失

データセンターがある地域の災害やサーバの障害、外部からの不正アクセスなどにより、クラウドサービスを提供する事業者に何らかのトラブルが発生した場合、保管していたデータが消失する恐れがあります。

データの消失は事業運営に大きな影響を及ぼすため、そのリスクを避けるためにも、定期的にバックアップするなど、データの保護に努めましょう。

シャドーIT

シャドーITとは、企業が許可していない個人所有の端末（スマートフォン、パソコン）や個人契約のクラウドサービスを、従業員が業務に利用することを指します。

企業の管理外のIT端末やクラウドサービスが利用された場合、ウイルス感染や情報漏洩のリスクが高まるため、シャドーITが利用できない体制を社内で構築することが大切です。

ただし、社内体制を整備したのにも関わらず、業務の効率化などを理由にシャドーITの利用が減少しない場合は、現実的な代替え案を用意するなどし、高いセキュリティ環境の構築を目指しましょう。

不正アクセス

マルウェア（不正かつ有害に動作させる意図で作成された悪意のあるソフトウェア）により個人情報が流出した場合、流出したIＤとパスワードを悪意のある第三者が用いて、クラウドサービスに不正アクセスする恐れがあります。

不正アクセスの防止には、セキュリティソフトなどを適切に利用し、マルウェアによるIDやパスワード流出を防止することが効果的です。セキュリティソフトが未導入の際は、社内のルール作りや管理体制をいち早く整え、不正アクセスに備えましょう。

セキュリティ対策が必要とされる背景

サイバー攻撃は年々高度化・巧妙化しており、企業の事業運営に深刻な影響を及ぼすケースが増加しています。

セキュリティ対策の脆弱性により、情報漏洩などのセキュリティ事故が発生した場合、「顧客への損害賠償」や「行政指導」、「自社のブランド力の低下」、「株価の下落」など、大きな経営損失を企業が被る恐れがあります。

また、セキュリティ事故は顧客や取引先といったステークホルダーが被る損失も大きいため、社会的信用が失墜し、取引停止に伴う業績悪化や、最悪の場合倒産に追い込まれる可能性もあります。

このような事態を未然に防ぐためにも、企業の社会的責任（CSR）として、セキュリティ対策に取り組む必要性が増しているのです。

クラウドサービスに特化した6つのセキュリティ基準

クラウドサービスに特化したセキュリティ基準には、どのようなものがあるのでしょうか。以下に代表的なものをご紹介します。

ISMSクラウドセキュリティ認証（ISO27001/ISO27017）

ISMSクラウドセキュリティ認証とは、クラウドセキュリティに関する第三者認証です。この認証を受けることにより、クラウドサービスに関する情報セキュリティを適切に管理している組織であることを示せます。認定後は、年一回のサーベイランス審査と3年に一度の継続審査を受ける必要があります。

• 認証対象：全世界

CSマーク

CSマークとは、クラウド情報セキュリティ管理基準に基づいて、クラウドサービスに求められるセキュリティ水準を満たした監査を実施した際に付与されるものです。

CSマークはJASA（日本の特定非営利活動法人日本セキュリティ検査協会）による情報セキュリティ監査制度であり、JASAにより認定された組織は、監査を受けた基本言明書にCSマークが付与されます。また、CSマークの認証段階にはゴールド（第三者認証）とシルバー（自主監査）の2種類があり、レベルや目的に応じて対象を選択できる点が特徴です。

• 認証対象：日本のみ

CSA STAR認証（CSA Security）

CSA STAR認証とは、米国のクラウドコンピューティングのセキュリティを確保するための業界団体であるCloud Security Alliance （CSA）が提供するクラウドセキュリティの認証制度です。認証取得に際し、自己認証、第三者認証、継続審査の3段階の認証を受ける必要があります。

• 認証対象：全世界

StarAudit Certification

StarAudit Certificationは、Euro Cloud Europe (ECE)による認証制度を指します。StarAudit Certificationではクラウドサービスでの確認要件を 6つの領域（※）に分類し、それぞれの星（Star）の数につき、Star 3～5の範囲内で評価する点が特徴です。

※6つの領域CSP（クラウドソリューションプロバイダ）の情報、法的事項、セキュリティ及びプライバシー、データセンター、運用プロセス成熟度、クラウド形態（IaaS、PaaS、SaaS）

• 認証対象：全世界

FedRAMP

FedRAMPはFederal Risk and Authorization Management Programの略称であり、米国政府機関が採用しているクラウドサービスに関するセキュリティ評価・認証の統一ガイドラインです。米国政府機関に自社サービスを提供するためには、設定されたセキュリティ基準を満たす必要があります。

• 認証対象：全世界

SOC2,SOC2＋

SOCとは、System and Organization Controlsの略称であり、米国公認会計士協会（AICPA）が定めた「Trustサービスの原則と規準」に基づき、委託会社の内部統制やサイバーセキュリティについての評価を行うものです。その評価結果を発行したものが、「SOC2保証報告書」になり、SOC2+では任意の基準を加えて範囲を拡張することも可能です。

SOC2, SOC2+の保証報告書には、「記述書の内容に則って運用が行われているか」といった監査法人による評価の結果も含まれているため、委託会社の運用実態を把握できる点がメリットとして挙げられます。

• 認証対象：全世界

クラウド環境における7つのセキュリティ対策

セキュリティリスクは、適切なセキュリティ対策を講じることである程度抑えられます。クラウド環境における7つのセキュリティ対策を、以下にご紹介します。

情報の暗号化

インターネットを通じて利用するクラウドサービスは、通信時にデータを読み取られるリスクがあるため、情報の暗号化が効果的なセキュリティ対策になります。情報の暗号化とは、インターネット上のデータに暗号化処理を施し、第三者から情報を読み取れない状態にすることです。

インターネット上でデータを暗号化し送受信する仕組みの一つに、SSL（Secure Sockets Layer）があります。一例として、HPにSSLを導入した場合、訪問者のブラウザとサーバ間のデータ通信が暗号化されます。

データ通信の暗号化により、仮に第三者に情報を傍受された場合でも内容を解読することができないため、情報の盗聴や改ざん、不正アクセスのリスクを低減できる点は企業にとって大きなメリットです。

データのバックアップ

クラウドサービスを提供する事業者に何らかの障害や不具合が発生した場合、保管していたデータが消失する恐れがあるため、セキュリティ対策上、データのバックアップは不可欠です。

不測の事態に備え、会社のサーバや外付けドライブなどにデータを保存するなど、定期的なバックアップを実施しましょう。

ユーザー認証

パスワードを総当たりで解析する「ブルートフォースアタック」を通し、IDやパスワードなどの認証情報が攻撃対象者に特定されるケースがあります。

そのためセキュリティ対策を構築する際は、ワンタイムパスワードの導入やパスワード連続間違いによる制限を設定するなどし、ユーザー認証を強化することも大切です。

多要素認証の導入

多要素認証は、複数の要素でログイン認証する、セキュリティ対策の一つです。多要素認証の活用例として、指紋や顔などの生体情報を利用する「生体認証」や、スマートフォンなどの別の通信機器を認証時に利用する「二段階認証」などがあります。

複数の要素を組み合わせることで、仮に一つが不正にアクセスされた際も、他の要素が突破できない場合、認証されないことから、セキュリティ強度を高められる点が多要素認証のメリットです。強固なセキュリティ対策となるため、積極的な導入の検討をおススメします。

データ保管場所の把握

企業のセキュリティ対策として、データの保管場所を考慮することも重要になります。なぜなら、海外サーバを利用している場合、その国の法律により、強制的にデータを差し押さえられる場合があるからです。

また、津波や地震の影響で、データが保存されているサーバに不具合が生じるリスクもあります。クラウドサービスを利用する際は、国内のデータセンターを選択するなど、データの保管場所も考慮した上でセキュリティ対策を推進しましょう。

アクセスログの情報管理

アクセスできるIPアドレスの制限や管理外の外部端末によるアクセスの禁止など、アクセスログの情報管理の徹底により、不正アクセスを未然に防ぐことも可能です。

事業者の選定

外部のクラウドサービスを新たに導入する際は、サービスの質やコスト面だけでなく、セキュリティ面の高さも重視しましょう。

ただし、搭載するセキュリティレベルがあまりに高過ぎる場合、使い勝手に支障が出る恐れもあります。自社の業務レベルに応じた、最適なセキュリティレベルのサービス事業者を選定することも重要です。

まとめ

利便性の高いクラウドサービスを利用する際には、セキュリティリスクを把握した上で、適切なセキュリティ対策を講じる必要があります。

貴社にとって最適なクラウドセキュリティの構築に向け、本コラムをご参照いただければ幸いです。