クラウドサービスのセキュリティリスクとは？クラウドサービスの種類や対策を解説

新型コロナウィルスの流行をきっかけに、テレワークを導入する企業が増え、クラウドサービスを活用する企業も増加しています。しかし、クラウドサービスは便利な一方、セキュリティのリスクも存在します。そのため、導入する際には対策が必要です。

この記事では、企業の経営層の方やご担当者様に向けて、クラウドサービスのセキュリティリスクや対策について解説します。クラウドサービスを安全に利用するために、ぜひ参考にしてください。

クラウドサービスとは

クラウドサービスとは、インターネット上で利用できるさまざまなITサービスやリソースのことです。

インターネット上のクラウドサービスを活用すれば、ソフトウェアやインフラを自社で整備しなくとも必要なサービスをすぐに利用できます。またインターネットに接続できる環境とパソコンやスマートフォンなどの端末さえあれば、いつでもどこでもサービスを利用することが可能です。クラウドとは、英語で「雲」を意味しており、インターネットを雲に例えたことから名称として定着しました。

クラウドサービスのセキュリティリスクとは？ 3つの危険性

クラウドサービスには、どのようなセキュリティリスクがあるのでしょうか。ここでは、クラウドサービスの具体的なセキュリティリスクについて解説します。

1.不正アクセス

クラウドサービスを利用するためには、IDやパスワードが必要です。しかし、IDやパスワードが流出すれば、自社に関係ない第三者にアクセスされる恐れがあります。また、クラウドサービスに不正アクセスを受ければ、自社の重要な情報が盗まれる可能性もあります。サイバー攻撃やシステムの破壊につながる恐れもあるため、注意が必要です。

不正アクセスを防止するためには、不正ログインへの対策をしっかり取り入れているクラウドサービスを選ぶなどの対策が求められます。クラウドサービスの選び方については後ほど解説します。

2.データ消失・破損

障害や不具合が発生すれば、クラウドサービスに保存していたデータが消失したり破損したりする恐れがあります。

クラウドサービスの障害や不具合に備えるためには、日頃からデータのバックアップをとっておくための環境を整えましょう。データの消失や情報漏洩が起きた時に備えて、適切な対応ができる契約を検討することも重要です。

3.内部関係者の脅威

先述したように、クラウドサービスは、IDやパスワードがあれば誰でもアクセス可能です。そのため、場合によっては、内部関係者がセキュリティリスクを発生させる可能性もあります。

企業側は、とくに重要なデータについては、業務上関係がない人のアクセスは制限しておくなどの対策を講ずるべきです。また、社員に対する教育を強化し、セキュリティに対する意識を高めることも大切です。

クラウドサービスとオンプレミスサービス

システムの運用方法として、クラウドサービスとオンプレミスサービスがあります。クラウドサービスは、インターネット上で利用できるさまざまなITサービスやリソースのこと。対してオンプレミスサービスは、自社でサーバーやソフトウェアを管理して使用するシステムのことです。従来は、クラウドよりもオンプレミスの方がセキュリティリスクが低いと考えられていました。しかし現在では、セキュリティの要件を満たすクラウドサービスも多く登場しています。そのため、セキュリティを重視する場合でも、クラウドサービスを活用できるようになりました。

クラウドの種類とセキュリティ

クラウドサービスは、SaaS、PaaS、IaaSの3つの主要なサービスモデルに大別されます。SaaSはソフトウェアを、PaaSはプラットフォームを、IaaSはインフラストラクチャを、サービスとして提供します。それぞれに責任分界点（ユーザーとサービス事業者のそれぞれがどこまで責任を負うかを定めた基準）が異なります。具体的には、下記のような違いがあります。

SaaS

SaaSは、アプリケーションやソフトウェアをクラウド上で提供し、ユーザーがそれらを利用できるようにしたものです。例えば、Google Appsなどが該当します。SaaSは仮想化基盤、物理基盤、OS、ミドルウェア、アプリケーションについてサービス事業者が責任を負います。

PaaS

PaaSは、アプリケーションやソフトウェアを動かすための仕組みをクラウド上で提供するものです。例えば、Googel App Engineなどが該当します。PaaSについてサービス事業者が責任を負うのは、アプリケーション以外の部分です。

IaaS

IaaSは、システムを使用するために必要なネットワークや機材をクラウド上で提供しているものです。例えばGoogle Compute Engineなどが該当します。IaaSは、仮想化基盤や物理基盤についてのみサービス事業者が責任を負います。

リスク対策のために知っておきたいクラウドセキュリティガイドラインとは

管理担当者に確認していただきたいのが、クラウドサービスを利用する際の注意点やサービス事業者が提供すべき情報などについて経済産業省がまとめた「クラウドセキュリティガイドライン」です。

クラウドセキュリティガイドラインは、日本工業規格（JIS）をもとにしており、情報セキュリティ管理のJIS Qを基本として作られました。管理担当者は確認しておくとよいでしょう。

クラウドセキュリティのリスク対策5つ

最後に、クラウドセキュリティのリスク対策を5つ解説していきます。

1.セキュリティが強固なクラウドサービスを選ぶ

クラウドサービスを選ぶときは、セキュリティがしっかり対策されているかどうか確認しましょう。また、単に高いセキュリティが設定されているだけでなく、サービス事業者が継続的に対策を講じているかどうかもチェックする必要があります。不正アクセスの手口は日々進化しているため、常に最新の状況に対応しているものを選ぶべきです。

また、データのバックアップがとられているかどうかも重要なポイントです。障害や不具合が発生するリスクにも備えられるクラウドサービスを選びましょう。

クラウドサービスの選定ポイントを二つご紹介します。

セキュリティ基準は適切か

クラウドサービスの安全性を証明する基準として、ISMSクラウドセキュリティ認証(ISO27001/ISO27017)、CSマーク、CSA STAR認証(CSA Security)などが挙げられます。

それぞれ対象となっている国や、認証の段階が異なるため、気になるクラウドサービスが見つかったら、サービスそのものはもちろんのこと、セキュリティ基準の内容についても比較するとよいでしょう。

自社に必要な機能が揃っているか

クラウドサービスを選ぶ際には、自社の機能に合った内容が揃っているかの確認も必要です。使用している機器や端末、サービスなどを並べたうえで、起こりうるリスクを想定し、その対策に特化したクラウドサービスを選ぶとよいでしょう。

また、試用期間があれば、実際に使用してから確定することをおすすめします。企業の大切な情報を守るためにも、万が一トラブルが生じた際のサポート体制や安定性についても確認してください。

2.安全なパスワード管理を徹底する

IDやパスワードが流出すれば、クラウドサービスのセキュリティが万全でも、不正アクセスが発生する恐れがあります。IDやパスワードはクラウドサービスを利用する社員が利用するため、それぞれが安全に管理しなければなりません。

IDやパスワードを忘れないようにするため付箋で机に貼っている従業員もいるかもしれませんが、不正アクセスを招く原因になります。従業員が安全にIDやパスワードを適切に管理できるよう、指導を徹底しましょう。

3.通信データの暗号化をする

クラウドサービスはインターネットを介して利用します。そのため、悪意をもった第三者が存在していれば、クラウドサービスを利用している途中に重要な情報を盗み見られるリスクがあります。

情報を守るためには、通信データの暗号化による対策が重要です。通信データを暗号化すると、万が一、内容を盗み見ようとする人がいても解読できません。クラウドサービスを安全に利用するためには、通信データの暗号化が必須です。

4.データの管理場所を確認する

大規模なクラウドを展開しているサービス事業者は、世界中にデータセンターを設けています。万が一の事態にも備えるためには、データの管理場所についても確認しておきましょう。

海外にデータセンターを設けているクラウドサービスを利用している場合、状況によってはデータセンターがある国の法律によりデータベースが差し押さえになる可能性もあります。そのようなリスクを防ぐためには、可能な限り国内でデータを保管しているクラウドサービスを選ぶべきです。

5.退職者IDを削除する

退職者のIDは、タイミングを決めて順次削除しましょう。退職者のIDが使用できる状態になっていると、自宅からログインして不用意に情報を見られる恐れがあるからです。また、退職者のIDが第三者に流出し、情報漏洩に発展するリスクもあります。

引き継ぎのためにログインが必要な場合も、あらかじめ期限を設けましょう。退職者がクラウドサービスへログインできる権限はきちんと削除し、無用なトラブルにつながらないようにしてください。

6.セキュアなアプリケーション・OSを構築する

アプリケーションやOSに脆弱性があれば、攻撃を受けて情報漏洩につながるリスクが高くなります。クラウドサービスを利用するうえでは、定期的に状態をチェックすることが大切です。

クラウドサービスを利用し始めたときは問題がなくても、途中で問題が発生する可能性もあります。脆弱性診断やウイルススキャンなどを実施し、安全に使い続けられる状態か確認しましょう。

まとめ

クラウドサービスにはたくさんのメリットがあり、すでに多くの企業が活用しています。しかし、便利なクラウドサービスも、利用するうえではセキュリティリスクに気をつける必要があります。ポイントを押さえてクラウドサービスを選び、安全に利用しましょう。