今や、私たちは意識することなく便利に使っているクラウドサービス。
外出先でも「直ぐにメールやスケジュールが確認できたり」「データの共有が直ぐにできたり」当たり前のようにクラウドが利用されています。また、クラウドの活用でワークスタイルも「便利で快適」な環境へ大きく変わっているのではないでしょうか。
そのクラウド活用を「快適」に利用するにあたっては、クラウドセキュリティのリスクを利用者全員が理解して対応することがとても重要です。
「所有するから利用するへ」クラウドはアプリケーションやサービスが手軽に利用できる
まずは、クラウドを利用するにあたり、どのような事に注意を払わなければならないか整理してみましょう。
クラウドはOffice 365®、Box、DropboxやGoogleクラウドなど、手軽に提供されるアプリケーションをインターネットを介して利用し様々なデータをやり取りすることが出来ます。インターネットを介しますので、先ず初めに考えなければならないことは「企業情報のクラウドセキュリティに対する考え方」をしっかりと決めることです。
このように書くと何か堅苦しい感じがしますがいたって簡単なことで、通常オフィスで実施している情報セキュリティルールをそのまま実施するということです。なので何も変わることはありません。
多くの中小企業が利用されるサービスは、Office 365®などベンダーがアプリケーションを提供し、利用者はデータやコンテンツを利用するSaaSと呼ばれるサービスだと思われます。
この場合、まず考えることはクラウド利用する際に必要なログインIDとパスワードの管理です。
これは、通常オフィス内でPC起動時に使用するログインIDとパスワードの入力と同様の考え方で、ネットワークに参加する際にセキュリティを確保する最低限必要な認証のステップです。
そして、利用者がどの範囲まで利用できるかのルール設定(アクセス制御)も最初に設定しておくことが必要です。(利用者のデバイスごとに必要です)
また、クラウドと利用者の端末間の通信はSSL/SSHによる暗号化通信の利用が必須です。
次に重要なのがデータの保護です。クラウドストレージにデータ保管・共有するケースも増えると思います。
インターネットを介しますので「第三者による不正アクセスやなりすましによる情報漏えい・データ改ざん」のリスク発生を想定して対策することが重要です。また、「マルウェアによる感染被害」なども想定する必要があります。そのようなセキュリティリスクを踏まえ「データは暗号化」することが始めに行う必要な対策と言えます。
そして、クラウド上での企業情報(データ)保護レベルを定めておくことが重要です。
社内での情報資産の重要度には「極秘」「社外秘」「一般」などのレベル分けがあり、取り扱い基準が定められていると思います。これをクラウドセキュリティレベルに置き換える形となります。
大別するとこのような分類になります。
機密レベル | 対象 | 管理・運用 | 漏えい損失 |
---|---|---|---|
極秘レベル | 社員情報・顧客情報・・・ など | ・SSLによる通信の暗号化 ・データの暗号化+パスワード ・相手先確認後送信 ・通信ログ管理+データバックアップ |
大 |
社外秘レベル | 業績表・製品企画書・・・ など |
・SSLによる通信の暗号化 ・データの暗号化+パスワード ・相手先確認後送信 | 中 |
一般レベル | 仕様書・価格表・・・ など | ・SSLによる通信の暗号化 ・相手先確認後送信 | 小 |
このように、クラウドでの情報資産管理レベルを決めておくことがとても重要です。
「利用者の端末すべてにID/パスワード認証とアクセス制御を設定」し、「データに対するセキュリティ運用管理を実施」することが企業情報を守る。となります。
では次に、クラウドセキュリティにおける「企業に求められること、実現したいこと」を整理します。
クラウドセキュリティで「求められる具体的な対策」としては、次の5つとなります。
クラウドとの通信は、SSLやSSH暗号化通信を使用する。
クラウドに接続する全ての端末(デバイス)はID・パスワードで接続認証しアクセス制御をする。
データはマルウェア/不正アクセス防止対策などのセキュリティ対策を施し情報漏えい・改ざんを防ぐ。
通信ログやセキュリティ監査ログを管理し、見える化する。
定期的なデータバックアップを実施する。
そして「同時に実現したいこと」としては、「外部攻撃脅威の低減」「偽装メール・フィッシングサイトアクセス防止」「クラウドストレージの快適活用」「運用管理負荷軽減」ではないでしょうか。
これらが実現することで、クラウドをフルに活用できる快適なオフィスが実現できます。
クラウドセキュリティ対策のポイントがご理解頂けたと思います。次は取り組み検討となりますが、情報システム部門や専任者が不在の企業では「どこから、どうやって」はじめればよいのか?運用管理など難しいのでは?と、考える企業が多いのではないでしょうか。
そのような課題を抱える企業のお客様にお応えできるのが、SaaS型クラウドサービスのセキュリティ対策を一括対応できるクラウドセキュリティソリューションです。
今までは個別のセキュリティ対策を組み合わせて対応していましたが、Exchange Online、OneDrive for Business、SharePoint Online、Teams、Box、Dropboxなどのクラウドアプリケーションを一括でセキュリティ対応しますので、構築や運用・管理の手間が省け、情報システム部門や専任者不在の課題も解決できます。
そこで、ご紹介させて頂くのが「クラウドサービス for MVB データセキュア」です。
クラウドサービス for MVB データセキュアはクラウドアプリケーションのセキュリティを強化するSaaS製品で、Exchange Onlineなどのメールだけでなく、OneDrive for Business、SharePoint Online、Teams、Box、Dropboxなどのクラウドアプリケーションを、マルウェアや情報漏えいの脅威からワンストップで保護することができます。
また、簡単な設定画面から認証や設定情報を一括管理・状態確認できますので、管理と運用の手間が全くかかりません。
従い、情報システム部門や専任者不在の企業において、手間なく効果的なクラウドセキュリティを直ぐに導入して活用することができます。
マルウェアや不正アクセスに対するセキュリティ対策で情報漏えいを防ぐ
接続端末ごとのID/パスワードによる認証とアクセス制御設定
基本的なこの要求項目に、クラウドサービス for MVB データセキュアがどのようにお応えできるかを紹介します。
クラウドサービス for MVB データセキュアは、メール受信、ファイルのアップロードなどのイベントを検知し、対象のメールやファイルをダウンロードして、スキャン・ポリシー設定に応じた処理を行います。Office 365 の標準セキュリティではすり抜けてしまう高度な脅威に対しても、豊富なノウハウが詰まった各機能を搭載する事でより強固なセキュリティ対策が可能となります。
セキュリティ対策機能 | 内容 |
---|---|
不正プログラム検索 | パターンマッチング+AIの強力な検索で、未知のマルウェアも検出しブロック |
仮想アナライザ (サンドボックス) | 不正プログラムなど検出時に隔離して解析。リスク高/中/低/なしを判定 |
高度なスパムメール対策 | スパムやビジネスメール詐欺・ランサムウェアをTMASE(TrendMicro SpamEngine)で検出しブロック |
Webレビュテーション | URLクリックで感染する標的型メールやフィッシングサイトなどへの接続防止 |
クラウドサービス for MVB データセキュアには、使用中のメールやアプリケーションのユーザー・グループ情報を簡単に受け継ぎ、初期設定を素早く終了できるプロビショニング機能を有しています。
これにより管理者(ご担当者)は手間なく導入することが可能となります。
また、クラウドサービス for MVB データセキュアの分かり易い管理画面で導入後の運用管理も負荷なく簡単に行うことができます。
この機能を使うことで、対象のメールサービス・アプロケーションとAPI接続を行い、各種セキュリティ機能の提供とアカウントのセキュリティポリシー制御を行うことができます。(プロビジョニング概要図参照)
クラウドサービス for MVB データセキュアは端末のセキュリティ設定に有効なセキュリティテンプレートを用意しています。
これによりユーザー/部署/拠点ごとなどのクラウドでの取り扱い可能なデータを制御でき、セキュリティレベルのきめ細かな設定が可能となります。
クラウドストレージ上への機密情報のアップロードを監視する事で、万が一アカウント搾取にあった場合にも最悪の事態を回避する事が可能です。また、日本に合わせた情報漏えいテンプレートを豊富に用意しておりますので、管理者様は簡単に設定運用をすることが出来ます。
豊富なセキュリティスキャン機能と分かり易く操作しやすい管理画面とレポート機能で、「外部からの攻撃脅威の低減」「企業情報の保護レベル向上」「セキュリティ状況の一括管理と負荷軽減」といったクラウド活用での課題を一挙に解決できます。
そして、「便利で快適」なオフィス環境がカンタンに手間なく実現できます。
お問い合わせ
リコーのセキュリティソリューションに関するお問合せはこちらから受け付けています。
オフィスセキュリティチェックシート (全3ページ)
企業のセキュリティを維持するために必要な、『4つの分野』のセキュリティ対策。
どこまでできているか、チェックしてみてください。