「クラウドサービスのリスクに対するセキュリティ対策はどんなことが必要だろうか」
そんな疑問を持つ方に当記事ではクラウドのセキュリティリスクの観点を解説します。観点ごとに対策を解説していますので、読み終える頃には自社でどういったセキュリティ対策が必要か理解できるでしょう。
クラウドセキュリティとはクラウド環境のデータを守ること
クラウドセキュリティは主に以下を保護するセキュリティ対策のことです。
- クラウドで利用するインフラ
- クラウド上で動作するアプリケーション
- クラウド上に保存されているデータ
オンプレミスだけの環境ではなく、クラウド環境を利用する企業が増えました。オンプレミスとクラウドを両方利用し、ハイブリッドクラウドとして利用する企業も多いです。クラウドサービスには利用するメリットが多くあります。
しかし、クラウドを利用する企業はデメリットにも目を向けなければなりません。特に懸念されるのがクラウドを利用する上でのセキュリティです。クラウドを利用する際には相応のリスクも生じます。
クラウドのリスクを踏まえて、適切なセキュリティ対策を講じることが必要です。
クラウド環境とは何か
クラウド環境はインターネットを経由して利用できるインフラやアプリケーションのことです。クラウド環境を含む企業のIT環境は大きく以下3つの形態に分けることができます。
- プライベートクラウド
- パブリッククラウド
- オンプレミス
プライベートクラウド
プライベートクラウドは特定の企業や組織が占有するクラウド環境です。プライベートクラウドは以下の2パターンがあります。
- 企業が自社で運営するデータセンターでクラウド環境を構築する
- 外部クラウド事業者の一部の環境を一企業が占有する
上記の2パターンの大きな違いは、他社(クラウド事業者)が提供する環境かどうかです。よって機密情報を保存したい場合は前者を選択するケースが多くあります。後者は、自社で用意する場合に比べてセキュリティ面の懸念を払拭しきれないためです。
多くの場合、クラウド環境は他社や他のユーザーと共有して利用する環境(パブリッククラウド)が一般的です。しかし、プライベートクラウドであれば自社やグループ企業のみで占有できます。これによりプライベートクラウドは以下の特徴を持ちます。
- データ漏えいの心配が少ない
- カスタマイズ性が高い
- 導入コストが比較的高い
パブリッククラウド
パブリッククラウドはクラウド事業者が提供し、多くのユーザーが利用することを想定している環境です。クラウドサービスと聞いて、パブリッククラウドを思い浮かべる方も多いでしょう。
パブリッククラウドはクラウド事業者が多くのユーザーが環境を安全に共有できるよう、仮想化やユーザー分離の技術が施されています。安全な環境が実現されていますが、不特定多数のユーザーと共有することから、企業が機密情報を保存することは敬遠されることが多いです。
パブリッククラウドは以下の特徴を持ちます。
- 大規模なリソースを大勢のユーザーで共有することで、高い集約率を実現する
- 需要に応じたスケーラビリティを確保できる
- どこからでもアクセスできる
- サービスを共有することからセキュリティ面が不安視される
- 従量課金で利用する
オンプレミス
オンプレミスは自社の敷地内に設置、運用するITインフラのことです。クラウド環境ではありませんが、比較のために並べています。オンプレミス環境はデータはもちろん、ハードウェアやソフトウェアも自社内にあるため、他社を経由せずに利用できる環境です。
オンプレミスは自社でハードウェアの購入や発注といった物理的な環境の手配から始める必要があります。よってITインフラ購入費や設置する場所の料金、エアコンの電気代なども含め必要なコストが多くなることが特徴です。
その代わりに、クラウド事業者を経由しない分、高いセキュリティを確保しやすいメリットがあります。自社内にあるためアクセス時にインターネットを経由する必要がなく、外部への情報漏えいの確率が低いことが特徴です。
クラウドサービスは3種類ある
クラウドはインターネットを通じて利用するサービスによって呼び方が異なります。さまざまな種類がありますが、以下で代表的な3点を紹介します。
- SaaS
- PaaS
- IaaS
SaaS
SaaS(Software as a Service)はインターネットを通じ、クラウド上でソフトウェアを利用できるサービスです。
SaaSではなくソフトウェアを購入する場合、ユーザーはパッチ適用や更新などのメンテナンスを自社でやる必要があります。またソフトウェアが動作している環境のハードウェアやOS、ネットワークの管理もソフトウェアの提供者は特に何かをしてくれるわけではありません。
しかし、SaaSの場合、それらのメンテナンスはクラウド事業者の管轄のため、ユーザーがやる必要がなくなります。ユーザーはソフトウェアの利用や、設定に注力できることがメリットです。
SaaSの例として以下があります。
- Microsoft 365
- Google Workspace
PaaS
PaaS(Platform as a Service)はインターネットを通じ、クラウド上でプラットフォームを利用できるサービスです。
プラットフォームはアプリケーションを実行、開発、管理をする環境です。プラットフォームの例として以下が挙げられます。
- データベース
- コンテナ環境
- ミドルウェアが搭載された環境
上記をユーザーが用意する場合、ハードウェアやOSの管理は自社でする必要があります。しかしPaaSを利用すると、プラットフォームより下に位置する基盤の管理はクラウド事業者の管轄です。ユーザーはPaaSを利用することで開発や実行、分析に集中できます。
PaaSの例として以下があります。
- Microsoft Azure App Service
- Google App Engine
IaaS
IaaS(Infrastructure as a Service)はインターネットを通じ、クラウド上でインフラストラクチャを利用できるサービスです。
インフラはプラットフォームやソフトウェアを動作させるための基盤です。インフラの例として以下があります。
- コンピューティングリソース(CPU,メモリ)
- ストレージ
- ネットワーク
上記を自社で導入する場合はハードウェアを購入し、場所代や電気代も自社で負担する必要があります。またパッチ適用や定期的なメンテナンスも自社の管轄です。しかし、IaaSを利用するとそれらはクラウド事業者の管轄のため、自社で負担することはありません。
IaaSを利用することで、高いコスト効率でインフラ基盤を用意できます。よってプラットフォームの利用やソフトウェア開発にリソースの傾注が可能です。
クラウドサービスが抱えるセキュリティリスク一覧
クラウドサービスが抱えるセキュリティリスクとして以下があります。
- 第三者に不正にアクセスされる
- 保存データが漏えいする
- 保存データの改ざんや消失
- マルウェア感染やサイバー攻撃の被害にあう
- 管理者が把握していないシャドーITが発生する
第三者に不正にアクセスされる
クラウドは第三者に不正アクセスされるリスクがあります。
クラウド環境は基本的にはインターネット経由でアクセスし、認証を経てログインします。つまり認証情報があれば、誰でもアクセスできてしまうという弱点にもなり得ることが特徴です。不正アクセスを受けると情報漏えいや、データの改ざんなどの被害につながる可能性があります。
不正アクセスの対策として認証情報を盗まれないこと、あるいは盗まれても大丈夫な認証情報を利用することです。具体的にはパスワードの定期的な変更を義務付けることや、多要素認証を利用する方法があります。
保存データが漏えいする
クラウドは保存データが漏えいするリスクがあります。データが漏えいすると、顧客や社会からの信頼が失墜する事態にもつながるため、対策が必要です。
クラウドでのデータ漏えいの原因として以下が考えられます。
- 第三者による不正アクセス(先述)
- 不適切な共有設定
- 脆弱性があるデータ暗号化の利用
- 内通者による流出
クラウドでのデータ漏えいを防ぐためには以下の対策が必要です。
- 社内ルールの徹底
- 必要最低限のユーザーに対する共有設定
- 強固な暗号化の利用
- 社員教育
- ログの監視
保存データの改ざんや消失
クラウドでは保存データの改ざんや消失が行われる可能性があります。先述したデータ漏えいと同様に顧客や社会からの信頼失墜につながってしまうため、防がなければならない被害の1つです。
改ざんや消失も不正アクセスや設定の不備による原因が大半です。対策としては社内ルールの徹底や適切な共有設定に加え、定期的なバックアップがあります。
バックアップがあれば、万が一データの改ざんや消失が起こった際に復旧が可能です。
マルウェア感染やサイバー攻撃の被害にあう
クラウドはマルウェア感染やサイバー攻撃の被害にあうリスクがあります。
クラウドは基本的にインターネットを経由するため、誰でもアクセスできます。このメリットは、どこでも誰でも攻撃が可能になってしまうというデメリットと表裏一体です。各クラウド事業者は攻撃に耐えうるだけのセキュリティ対策を管轄範囲に対して実施しています。
しかし、クラウド事業者の管轄範囲外は自社で対応しなければなりません。よって強固なセキュリティ対策をする必要があります。セキュリティ対策がおろそかだと、マルウェア感染やサイバー攻撃の被害にあい、社会的信頼を失墜する事態に陥ります。
管理者が把握していないシャドーITが発生する
クラウドは管理者が把握していないシャドーITが発生するリスクがあります。
シャドーITは自社の承認を受けずに従業員が独自に利用するソフトウェアやサービスを指します。クラウド利用におけるシャドーITの例として以下があります。
- 社外のパソコン(個人所有のもの)で会社のクラウド環境にアクセスする
- 休日に個人的な目的で会社のアカウントを利用する
シャドーITは思わぬトラブルを引き起こす可能性があります。従業員に悪気がなくても、トラブルが起こらないようシャドーITをできない環境を整えることが重要です。アクセス制限や社内ルールの徹底で、シャドーITができない環境づくりをしましょう。
CSAが提唱するクラウドセキュリティ11大脅威
CSA(Cloud Security Alliance)が提唱するクラウドセキュリティ11大脅威には以下があります。
- 不⼗分なアイデンティティ、クレデンシャルおよびアクセスと鍵の管理、ならびに特権アカウント
- セキュアでないインターフェースや API
- 設定ミスと不適切な変更管理
- クラウドセキュリティのアーキテクチャと戦略の⽋如
- セキュアでないソフトウェア開発
- セキュアではないサードパーティーのリソース
- システムの脆弱性
- 予想外のクラウドデータ公開
- サーバレスやコンテナワークロードの構成ミスやエクスプロイト
- 組織的な犯罪、ハッカーと APT
- クラウドストレージデータ流出
クラウドリスクといえど、リスクに対する基本的な考え方はオンプレミスと同じです。適切な権限管理やアクセス設定を行い、アップデートされたバージョンのサービスを使い、必要に応じて脆弱性を防ぐことがクラウドの利用でも求められます。
クラウドセキュリティガイドラインに沿った8つの観点とそれぞれの対策
クラウドセキュリティガイドラインは経済産業省が作成したクラウド利用時のリスクと対策をまとめた資料です。
同資料に沿った8つの観点は以下のとおりです。
- インフラ
- 仮想化基盤
- サービス基盤
- 統合管理環境
- データ管理
- データ分類
- ID管理
- 人員
参考:クラウドセキュリティガイドライン 活用ガイドブック(経済産業省)
利用者、クラウド事業者のそれぞれが各観点のセキュリティリスクを踏まえ、どういったセキュリティ対策が必要か確認しましょう。
インフラのセキュリティ対策
クラウドサービスにおけるインフラのセキュリティリスクには以下があります。
- 物理的な攻撃
- 建物内への侵入
- なりすましによる情報漏えい
- 通信の盗聴
- 操作ミス
- 自然災害によるデータ損失
これらのセキュリティリスクへの対策として以下が有効です。
- 強固な警備体制、建物自体の強靭化
- 監視カメラや入館ログの設置
- 証明書や多要素認証の活用
- 通信の暗号化
- ダブルチェック、マニュアルの整備、従業員教育
- 災害対策計画、リージョン間冗長、予備電源の確保
インフラはデータセンター自体の建物や機器そのものを狙われるケースと、機器の設定や通信を狙われるケースがあります。それぞれに対策を実施することで、クラウドにおけるインフラのセキュリティリスクを低減可能です。
また自然災害が起こり、データセンター自体の稼働が停止してしまう可能性もあります。事態に備えて電力の確保や、別リージョンでの冗長をできる災害対策計画を用意しておきましょう。
仮想化基盤のセキュリティ対策
クラウドサービスにおける仮想化基盤のセキュリティリスクには以下があります。
- 仮想化基盤の脆弱性を突かれた攻撃による情報漏えい
- 設定ミスによる情報漏えい
- 障害発生時のデータ損失
これらのセキュリティリスクへの対策として以下が有効です。
- 脆弱性へのセキュリティパッチ対応
- ダブルチェックやマニュアルの整備、従業員教育
- ログ機能の強化、バックアップの取得
IaaSはインフラ内の環境をユーザー間で分離する仮想化技術を用いた環境です。
よって仮想化基盤は物理基盤にないセキュリティリスクが生じます。
仮想化技術のセキュリティリスク対応は、クラウドを利用する上では欠かせません。
サービス基盤のセキュリティ対策
クラウドサービスにおけるサービス基盤のセキュリティリスクには以下があります。
- 認証サーバーのように単一障害点となる基盤への攻撃
- 決済サーバーやストレージサーバーのように共有リソースとなる基盤への攻撃
これらのセキュリティリスクへの対策として以下が有効です。
- アクセス制限
- 冗長化
- 他リージョン化
サービス基盤はクラウド利用時に必要となる外部サービス、あるいはクラウド内の独立したサービスを指します。これらの攻撃により安全性が失われてしまうと、クラウドサービス全体に影響を及ぼしてしまうので厳重な対策が必要です。例えば、認証サーバーが失われてしまうと、クラウド利用時に必要な全認証プロセスに影響し、場合によってはすべての提供サービスを利用できなくなってしまいます。
サービス基盤のセキュリティ対策を行うことで、クラウド事業者による安定したサービス提供が実現します。
統合管理環境のセキュリティ対策
クラウドサービスにおける統合管理環境のセキュリティリスクには以下があります。
- 全てのリソースに対する不正アクセスが可能になる
これらのセキュリティリスクへの対策として以下が有効です。
- アクセス制限
- 必要最小限にとどめる権限管理
- アクセスログ監視
統合管理環境はコントロールパネル、マネジメントコンソールなどと呼ばれる機能です。GUIで操作をする場合はクラウドにアクセスし、統合管理環境からリソースの作成、削除などさまざまな操作を行います。
よってユーザーの統合管理環境が失われてしまうと、そのユーザーができる全ての操作が攻撃者によりできてしまいます。攻撃者に自由に操作させないためには以下が重要です。
- 万が一統合管理環境を失った場合でも、そのユーザーができる操作を最小限にとどめておくこと
- 不正なアクセスがあった場合にすぐに気が付けるようにしておくこと
データ管理のセキュリティ対策
クラウドサービスにおけるデータ管理のセキュリティリスクには以下があります。
- 不十分な管理体制による情報漏えい、改ざん
- 不正なダウンロードによるマルウェアの被害
これらのセキュリティリスクへの対策として以下が有効です。
- データ管理方法の整備
- 適切なアクセス制限
- アップロード、ダウンロード時のスキャン
クラウドでデータを扱う場合、大半はデータベースやストレージのサービスを用います。特にオブジェクトストレージのサービスは社内のユーザーが誰でも自由にデータの保存が可能なため、データの責任所在を明確にしにくいです。このため、データの管理が煩雑になってしまい、いつの間にか情報が漏えいしてしまう事態に繋がります。
データのダウンロード、アップロード時にスキャンを行うことも大切です。スキャンを実施しなければストレージや自身の作業パソコンに悪意があるファイルが残っている状態になります。
データ分類のセキュリティ対策
クラウドサービスにおけるデータ分類のセキュリティリスクには以下があります。
- 煩雑なデータ分類による情報漏えい、不正アクセス
これらのセキュリティリスクへの対策として以下が有効です。
- データ分類ルールの整備
- 適切なアクセス制限
企業はさまざまなデータを扱います。例として以下の分類が可能です。
- 社外秘のデータ
- 特定の企業や相手にのみ送るデータ
- 公開しても問題がないデータ
これらを適切に分類し、適切にアクセス制限をすることでデータ分類によるデータガバナンスの徹底につながります。
クラウドに限らず、データ分類が煩雑だと、意図しない相手に情報を共有してしまうリスクや、不適切なアクセス制限をしてしまうリスクが伴います。不正アクセスを許し、情報漏えいが起これば、たちまち企業の信頼が失墜するでしょう。適切なデータ分類ができるよう、まずはルールを定める必要があります。
ID管理のセキュリティ対策
クラウドサービスにおけるID管理のセキュリティリスクには以下があります。
- なりすまし攻撃
- 認証を通れずにサービスにアクセスできなくなる事態
これらのセキュリティリスクへの対策として以下が有効です。
- 多要素認証の義務化
- 人事システムとの連携対応
ID管理のリスクは攻撃を受けるリスクと、自社のID管理対応に追いつかずにアクセス設定に過不足が生じるリスクがあります。攻撃に対しては多要素認証を義務化し、本人以外が認証されにくいシステムにしましょう。
自社のID管理対応は、例えば部署異動や退職、昇進などの際に必要になります。このとき人事システムへの変更がクラウド側に反映されない場合はアクセス権に過不足が生じるでしょう。よって人事システムとの連携により、素早く反映できる環境を整えることで、リスクを低減できます。
人員のセキュリティ対策
クラウドサービスにおける人員のセキュリティリスクには以下があります。
- 設定ミス
- 操作ミス
- 内部不正
これらのセキュリティリスクへの対策として以下が有効です。
- 従業員への教育
- ルールの整備
- マニュアルの整備
- ログ監視の導入
- 適切なアクセス設定
人員のセキュリティリスクは、リテラシー不足が原因のリスクと、従業員のモラルによるリスクがあります。
リテラシー不足に対しては教育やルール、マニュアルの整備で対応しましょう。従業員のリテラシーやスキルが向上することで、オペレーションの効率化や他業務での活用にもつながります。
一方でモラルの問題は、ログ監視やアクセス設定で、悪意のある操作をされた場合にすぐに対応できる環境を整えておくことが必要です。
クラウドセキュリティに関する認証・評価制度
クラウドセキュリティに関する認証、評価制度として以下があります。
- ISMSクラウドセキュリティ認証
- CSA STAR認証
- CSマーク
- StarAudit Certification
- SOC2(SOC2+)
- FedRAMP
ISMSクラウドセキュリティ認証
ISMSクラウドセキュリティ認証は、通常のISMS(JIS Q 27001)とクラウドサービス固有の管理策(ISO/IEC 27017)が取り入れられたクラウドを認証する枠組みです。
クラウド事業者が受ける認証であり、同認証を受けていることで、企業や一般ユーザーが安全に利用できるサービスであることが証明されます。JIPDECの「JIP-ISMS517」が基準となっており、基準を満たしたクラウド事業者が受けられる認証です。
CSA STAR認証
STAR(Security, Trust & Assurance Registry)認証はCSA(Cloud Security Alliance)が提供するクラウドセキュリティの認証制度です。STARには3つのレベルがあり、セキュリティ認証とプライバシー認証の観点で評価されます。
レベルが高いほど満たすべき基準が高くなっており、認証を受けるために継続的な取り組みが必要です。
CSマーク
CS(クラウドセキュリティ)マークはJASA(日本セキュリティ監査協会)がクラウド事業者に対して基準を満たしたクラウドサービスであることを認定するマークです。
日本セキュリティ監査協会が監査を行い、基準を満たしていることが確認されるとゴールドのCSマークが付与される仕組みになっています。シルバーのCSマークは自社での内部監査で要件を満たした状態を示すマークです。
StarAudit Certification
StarAudit CertificationはECE(EuroCloud Europe)のクラウド認証であり、6つの観点に対して星でレベルを表現する認証です。
ヨーロッパを中心に行われる認証ですが、全世界のクラウドが対象となります。6つの観点には以下があります。
- CSP(クラウドソリューションプロバイダ)の情報
- 法的事項
- セキュリティとプライバシー
- データセンター
- 運用プロセス成熟度
- クラウド形態
それぞれの観点で星3~5つで評価をします。
SOC2(SOC2+)
SOC2は米国公認会計士協会(AICPA)による企業の内部統制やサイバーセキュリティについて評価を行う枠組みです。SOCR(Service Organization Control Reporting) はSOC1,2,3の3つのレポートがあります。このうちのSOC2がセキュリティリスクに関わるレポートです。
主にアメリカで受けるSOCRですが、全世界を対象としています。
FedRAMP
FedRAMP(Federal Risk and Authorization Management Program)は米国連邦政府によるクラウドサービスの要件に関する認証制度です。
FedRAMPはアメリカの政府全体で安全なクラウドサービスを利用するためにできた制度です。アメリカではFedRAMPによる認証を受けたクラウドサービスのみ、政府との契約ができます。なお日本の同様の枠組みはISMAPです。
まとめ
クラウドは扱いやすいサービスである一方で、セキュリティの懸念はオンプレミスと異なる点があります。自社の環境がクラウド、オンプレミスのどちらでも、それぞれの特徴に合わせたセキュリティ対策を実施することが重要です。
三和コムテックはクラウドリスクに対応できるさまざまなセキュリティソリューションを提供しています。「自社にはどんなセキュリティ対策が必要か」といった相談にも無料で対応させていただくので、下記のリンクからお申し込みください。
