SaaSなどのクラウドサービスは、とても便利で導入しやすいです。その一方、適切なクラウドサービスの管理や運用ができないと、大きなインシデントにつながるリスクがあります。

本記事では、基本的な8つのリスクと対策に加えて、情報漏洩等の事例を解説します。是非、最後まで読んで、クラウドセキュリティ対策の参考にしてください。

クラウドセキュリティとは?

クラウドセキュリティとは、クラウド特有のリスクに対するセキュリティ対策のことです。クラウドサービスを利用する企業は、セキュリティ対策を徹底する必要があります。

クラウドサービスは便利な一方、情報漏洩や「シャドーIT」などの今までのセキュリティ対策では対処できないリスクがあるからです。

クラウドはセキュリティ面が不安？

実際、セキュリティが不安でクラウドサービスの導入を避ける企業もあります。情報漏洩やデータの消失などのニュースを耳にすることもあります。しかし、対策を正しく講じれば、便利なクラウドサービスを安全に活用できます。

クラウド利用における大きなリスクの一つがシャドーITです。具体的な発生原因やリスク、対策の詳細については、シャドーITとは？発生原因・リスクと対策、具体事例を解説で詳しく紹介していますので、あわせてご覧ください。

クラウドセキュリティに関連する事例

まずは、クラウドセキュリティに関連する事例を2つ紹介します。

①クラウドサービスに預けていた重要データの消失

ベンチャー企業であるA社は、すぐにインターネットのサービスを利用でき、かつコストも削減できるというメリットからレンタルサーバのクラウドサービスを導入しました。

しかしある日、A社からレンタルサーバに接続できなくなり、サービス事業者に問い合わせると、サーバに障害が発生しているようでした。しばらくすると、事業者から「サーバ内にあったA社の重要なデータが消えてしまい、復旧もできない」という連絡がきたのです。

A社がサービス規約を確認したところ、データのバックアップや復旧については利用者の責任であると書いてありました。バックアップを取っていなかったA社は、その重要データを完全に失ってしまったのです。

②不正アクセスによる個人情報流出

大手メーカーであるB社は、とあるクラウドサービスを利用していました。さらに、B社は独自の認証システムを導入した二段階認証を取り入れていました。

しかし、コロナ禍による在宅勤務で外部からのアクセス集中が発生し、ログイン待ちで業務効率が低下してしまいました。

そこでB社は、一度認証を受けたアカウントの一般的なアクセスを簡略化する措置を取りました。これにより、外部からのアクセスに対するセキュリティが弱くなってしまいました。

攻撃者は、B社の子会社を経由して本社に不正アクセスし、電子認証も入手して管理者ユーザーになりすましていました。

現在分かっているだけでも、約9,700件の取引先情報や個人情報が流出してしまったと言われています。

クラウドセキュリティガイドラインとは?

クラウドセキュリティガイドラインとは、経済産業省が2011年4月に発表したクラウドサービスの利用者と提供者のためのガイドラインです。情報セキュリティの規範となるJIS Q27002を参考に作られました。

クラウドサービスを安全に利用するために利用者が気を付けることや、提供者が開示しなくてはならない情報が記載されています。

2014年3月の改定では、サービス提供者と利用者がそれぞれ検討するべきリスクが加えられ、活用ガイドブックも作成されました。

さらに、クラウドセキュリティガイドラインは国際標準化され、2015年12月に国際規格「ISO/IEC27017」が作成されました。

策定された背景

このガイドラインが策定された背景は、クラウドサービスを運用する上での明確なルールが国内になく、情報漏洩や大きな障害、データの損失などが多く発生したことでした。

このような状況を受け、国内でのルール作りが必要になった、というわけです。

さらに、海外のクラウドサービスを安全に利用するため、2015年12月に国際規格「ISO/IEC27017」が作成され、国際標準化されました。

クラウドセキュリティガイドラインの8つのリスクと対策

クラウドセキュリティガイドライン及び活用ブックには、提供者と利用者が検討するべきリスクと対策が8項目に分類されて解説されています。

その8項目を表にまとめたので、リスクを正しく把握し、対策に役立てましょう。

①インフラ

インフラに関するリスクは主に次のようなものが挙げられます。

‍

仮想化基盤に関するリスクは主に次のようなものが挙げられます。

‍

サービス基盤に関するリスクは主に次のようなものが挙げられます。

‍

統合管理環境に関するリスクは主に次のようなものが挙げられます。

‍

データ管理に関するリスクは主に次のようなものが挙げられます。

‍

データ分類に関するリスクは主に次のようなものが挙げられます。

⑦ID管理

ID管理に関するリスクは主に次のようなものが挙げられます。

‍

人員に関するリスクは主に次のようなものが挙げられます。

クラウドのセキュリティリスク対策はしっかりと行おう

本コラムでは、クラウドサービスに関連する事例やクラウドセキュリティガイドライン内の検討するべきリスク、対策例の解説をしてきました。
もし、対策を怠り、情報漏洩やサービス停止などに陥った場合は、企業の信用の低下、事業の継続に大きな影響を与えることは言うまでもありません。

ジョーシスは、従業員の所有デバイスを可視化し、アカウントの管理効率化をサポートするサービスです。上述した「8つのリスク」における④統合環境管理、⑤データ管理、⑥データ分類、⑦ID管理の対策になりうるサービス内容となっております。

テレワーク体制下でのセキュリティ対策強化をご検討の際は、お問合せください。

見えにくいシャドーITを検知し管理するには効果的な技術が必要です。Josysのブラウザ拡張機能は、未承認アプリの利用をリアルタイムで把握し、IT資産の安全な管理を支援します。詳細はJosys ブラウザ拡張機能によるシャドウ IT の管理をご参照ください。