自社でハードウェアを用意する必要がなく、運用管理の手間もかからないクラウドサービス。利便性の高さや低コストで利用できるといったメリットから、日本でも普及が進んでいます。
海外でもクラウドの利用が進む中、「令和3年 情報通信白書」によれば、日本のクラウド利用率は2020年度で68.7%。年々、利用率は上昇しているものの、さらなる引き上げを目指し、政府は「クラウド・バイ・デフォルト原則」を掲げ、クラウドサービスの認定制度として「ISMAP」を立ち上げて普及を推奨しています。
オンプレミス環境からクラウド環境への移行をためらう理由の一つとしてよく挙げられるのが情報セキュリティ面でのリスクです。
ただ、クラウドサービスの提供者側でもセキュリティ面に注力しています。
結局、ユーザーはクラウド利用時の情報セキュリティにおいて、何に注意すれば良いのでしょうか?
本コラムでは、クラウド利用において求められる情報セキュリティ対策について、オンプレミス環境と比較しながらご紹介いたします。
クラウドセキュリティとは
クラウドセキュリティとは、オンプレミス環境では不要の、クラウド環境だけで必要になる情報セキュリティを指します。厳密にいえば、クラウドにもオンプレミス型が存在しますが、本稿ではオンプレミス型を除くクラウド環境を指して「クラウド」と表記します。
クラウド環境で求められるセキュリティを考える際に知っておきたいのが、オンプレミスとクラウド(IaaS、PaaS、SaaS)でのサービス提供者とユーザー企業の責任範囲の違いです。責任を有している対象範囲についてセキュリティ対策を講じる必要があります。
オンプレミス環境で求められるセキュリティ
オンプレミス環境では、ハードウェアもソフトウェアも、これらの運用管理も、すべて自前で用意し、社内に置くことになります。このため、外部からのサイバー攻撃を受けにくく、高セキュリティだとされています。
すべてのIT資産に対してのセキュリティ対策を講じる必要がありますが、すべてが社内にあることからセキュリティ対策も社内のみを考えれば良く、その分、コントロールもしやすいです。セキュリティソリューションもオンプレミス型を選ぶことになるためカスタマイズ性が高く、自社の求める要件を実現しやすいといえます。
また、オンプレミス環境のみが業務に利用されるため、従業員がいつ、どのシステムを使用したかといったログを取得・管理するためのログ管理システムも、オンプレミス環境のみを対象とした数多くの種類から選択できます。
クラウド環境で求められるセキュリティ
一方、業務にクラウド環境が利用される場合、基本的にセキュリティ対策はサービス提供者に依存します。このため、セキュリティ対策が不十分なクラウドサービスを利用した場合、クラウドサービスそのものがサイバー攻撃を受けて情報漏えいにつながる恐れがあります。
また、社外のサービスにアクセスすることになるため、誰がいつ、どのクラウドサービスを利用したかというログの取得や、全従業員のログを一元的に管理することが難しくなります。
このため、使用を許可したクラウドサービスであっても、本来は社外への持ち出しが禁じられている重要データがアップロードされた場合、管理者側で把握することができず、情報漏えいリスクが放置されることになります。
管理者側で従業員が利用しているすべてのクラウドサービスを把握しづらいことから、未許可のサービスなどが利用される「シャドーIT」が生じやすくなります。
かといって、使用できるクラウドサービスを制限しすぎると、従業員の利便性が損なわれ、これもまたシャドーITを誘引してしまいます。
シャドーITを放置することで、マルウェア感染や情報漏えい、データの消失・改変などにつながる恐れがあります。
シャドーITについて詳しくは、下記の記事もご覧ください。
【関連記事】
シャドーITが発生する原因と防止するための対策について解説
クラウドセキュリティにおける課題
クラウド環境で業務を行うに当たり、情報セキュリティ上、主に次の4つの課題があります。
従業員のクラウドサービス利用状況を把握できない
「クラウド環境で求められるセキュリティ」でもお伝えしましたが、従業員が社外ネットワークへアクセスして利用するクラウドサービスは、そもそも、どのサービスが利用されているのかを把握することが難しく、さらに、誰がいつ、どのサービスでどのようなアクティビティをしたのかという詳細なログを取得、管理することは困難です。
もっというと、オンプレミスのシステムと、クラウドサービスの利用状況を一元的に把握・管理するとなると、さらに難易度は上がります。
利用状況を把握できなければセキュリティリスクも把握できないため、常に潜在的なリスクを抱えている状態となります。
クラウドサービスの安全性を評価できない
管理者が従業員への利用を許可するクラウドサービスを選定する際や、従業員からの利用希望があった際、従業員が未許可のクラウドサービスを利用していることが発覚した際などは、自社のセキュリティポリシーと照らし合わせてクラウドサービスの安全性を評価し、利用の可否を判断する必要があります。
しかし、クラウドサービスごとに設定されているセキュリティ基準が異なるため、統一のセキュリティポリシーのもとで安全性を評価したり比較したりすることは困難です。
このため、従業員に対しても明確な基準を示すことができません。
クラウドサービス上のアクティビティ制御ができない
たとえ、従業員に利用を許可したクラウドサービスであっても、アクティビティを無制限に許してしまってはリスキーです。たとえば、個人情報や機密情報、インサイダー情報など、社外へ出したことで情報漏えいにつながり、流出した際に重大な被害が想定される情報は、アップロードさせないといった対策が求められます。
しかし、こうしたアクティビティごとの制御は、クラウドサービス上で個別に設定しなければならず、作業が煩雑になります。
また、いざという時にアラート通知が欲しいと考えても、クラウドサービスによっては用意されていないケースがあります。
クラウドサービス上の脅威から情報を保護できない
クラウドサービスの利用においては、従業員の操作ミスや内部不正による情報漏えいリスクのほか、悪意あるクラウドサービスを利用してファイルにマルウェアを仕込まれるなどのリスクもあります。
こうしたリスクへの対策手段を持っている企業は少なく、脅威から情報を防御することができません。
クラウドセキュリティの対策方法
ここまでにお伝えしてきたようなクラウドセキュリティに特有の悩みを解消するためには、最低限、次の3つの対策を講じる必要があります。
ユーザー管理の徹底
まずは、従業員の情報セキュリティに対する意識を高める必要があります。改めて、自社のセキュリティポリシーを周知し、安全なクラウド利用のための研修を実施したいところです。
その上で、従業員が各クラウドサービスで利用する際のIDとパスワードを、推測されにくいものに設定するように促し、ID・パスワード情報が漏えいしないように、ユーザー側でできる対策を講じましょう。メールなどから漏えいするケースもあるため、標的型メール訓練などを実施するのも良いでしょう。
また、ユーザーのIDそのものを管理者側でしっかり管理することも大切です。たとえば、退職者のIDを放置していると、悪用される恐れもあるため、IDのライフサイクル管理を徹底することも重要です。クラウド上でID管理が行えるIDaaSなども提供されています。
通信データの暗号化
社外ネットワーク上での通信、および、社内ネットワーク上での通信を暗号化することで、悪意ある第三者にやり取りの内容を盗聴されて情報漏えいすることを防ぎます。
従来、SSLやVPNで通信する方法があり、セキュアとされてきましたが、サーバー上で一度複合されるという弱点があります。さらにセキュアなP2PEやE2EEなどの導入を検討しても良いでしょう。
アクセスログの管理
総務省が「国民のための情報セキュリティサイト」で下記のように記載している通り、情報セキュリティ対策において、アクセスログの管理は重要な要素です。
外部からの不正アクセスやウイルス感染により、組織内部からの情報漏洩等の事故が発生してしまった場合、そのことにいち早く気づき、被害状況や影響範囲の調査などの事後対応を効果的に行うためには、ログ(通信記録)の取得と保管が重要になります。
引用元:「国民のための情報セキュリティサイト(総務省)」
アクセスログを取得することで、従業員がどのクラウドサービスにアクセスしたかも把握できるため、シャドーITを見つけ出すことも可能になります。
まとめ
クラウド環境を業務に使用する際は、ネットワークをはじめとする社外の情報資産を利用することを念頭に、従業員のセキュリティ意識の向上や、ID・パスワード管理、アクセスログ管理が重要になってきます。
しかし、こうしたセキュリティソリューションを、それぞれ導入すると、金銭コストもかさみますし、各ソリューションの運用管理にも手間がかかってしまいます。
そこで、これらをすべてカバーできる総合セキュリティソリューションが求められます。
伊藤忠テクノソリューションズでは、クラウドを中心にオンプレミス環境のアプリケーションもカバーできるSSE(Security Service Edge)である「Netskope」の導入支援を行っております。
「Netskope」には、CASB(Cloud Access Security Broker)、ZTNA(Zero Trust Network Access)、SWG(Secure Web Gateway)といった機能がまとまっているため、これ一つでセキュアかつ快適なテレワークを実現できます。
SASEリーダーによるセキュリティソリューション「Netskope(ネットスコープ)」のサービスページはこちら