クラウドサービス導入時に知っておくべきクラウドセキュリティとは

近年、企業のITインフラは、オンプレミスの環境からクラウド環境へと着実に移行が進んでいます。

しかし、クラウド環境におけるセキュリティ対策は、オンプレミスとは異なる課題があり、企業にとって大きな負担となっているのも事実。

本記事では、クラウドセキュリティサービスのポイントや選び方を説明したうえで、自社導入とアウトソーシングサービスのメリットを比較していきます。

クラウドセキュリティの強化の一助になれば幸いです。

クラウドサービスを使う上でのセキュリティリスク

企業はクラウドサービスを積極的に活用することで、短期でのシステム構築やコスト削減といった多くのメリットがありますが、セキュリティにおけるリスクも想定する必要があります。

主要なクラウドセキュリティリスクとして、以下があげられます。

データ漏洩のリスク

クラウドではセキュリティ対策が講じられているものの、インターネットを経由してアクセスするため、通信経路上のリスクが懸念されます。

また、クラウド環境の設定ミスや不十分な管理により、クラウド上に保存された企業の機密情報や顧客データが外部に漏洩するリスクも考えられます。

万が一機密データが流出すれば、企業は深刻なダメージを受ける可能性もあるでしょう。

アクセス管理上のリスク

クラウド環境の場合、ユーザーIDやパスワードを適切に管理できていないことで、以下のようなリスクが考えられます。

• 不正アクセス : 悪意を持った第三者が不正に権限を取得してシステム内部に侵入するリスク
• データの搾取 : 社内データが搾取され、恐喝やさらなる被害を受けるリスク
• データ改ざん : 攻撃者がデータを改ざん・消去し、業務やサービスの停止に繋がるリスク

サイバー攻撃のリスク

クラウド環境はインターネット接続が前提でもあり、外部からサイバー攻撃を受けるリスクはオンプレミスよりも高い可能性があります。

たとえば、未知の脆弱性を利用したゼロデイ攻撃やDDoS（Distributed Denial of Service /分散型サービス拒否)攻撃、マルウェアの侵入による攻撃など、さまざまなサイバー攻撃が考えられるでしょう。

また、クラウド上の自社サーバーや PC を踏み台にされ、他への被害を広げてしまうリスクも考えられます。

コンプライアンス違反のリスク

クラウドサービスを利用する企業は、特定の法規制や業界のコンプライアンス要件を遵守する必要があります。

クラウド環境でのデータ処理や情報セキュリティ対策が不十分な場合、企業はコンプライアンス違反となる可能性も考えなくてはなりません。

サービスを提供するクラウド事業者が高度なセキュリティ対策を講じていても、利用する企業側での適切な設定やセキュリティポリシー、運用体制が整備されていないと、上記のようなリスクにさらされる可能性があります。

クラウドセキュリティとは

上記のような、クラウド環境におけるセキュリティリスクを低減するための対策全般のことを、クラウドセキュリティといいます。

クラウド事業者が提供するセキュリティサービスに加え、利用企業は自社に適したソリューションを導入し、総合的なクラウドセキュリティを講じることが重要です。

代表的なクラウドセキュリティソリューション

数あるクラウドセキュリティの中から、代表的なソリューションの機能概要と活用時のメリットを紹介しましょう。

SWG （Secure Web Gateway）

従業員が安全なWebサイトにアクセスする一方で、悪意のあるサイトへのアクセスは制御しなければなりません。

SWGは、企業ネットワーク内からのWebサイトの閲覧やデータダウンロードなどを監視し、悪意あるサイトへのアクセスをブロックすることで、セキュリティ向上につなげます。

マルウェアや悪意のあるコードを検知・ブロックすることで、組織内のシステムやデバイスが感染するリスクを軽減します。

CASB （Cloud Access Security Broker）

CASBは、クラウド上のデータを保護し、アクセス制御を行うサービスです。

クラウドサービスへのアクセスを可視化・制御し、データの暗号化や漏洩防止などのクラウドセキュリティ対策を行うことができます。

また、シャドーIT(IT部門の許可なく使用されるクラウドサービスやアプリケーション）を検知する目的でも、CASB活用は有効です。

FWaaS （Firewall as a Service）

FWaaSは、クラウド上で提供されるファイアウォールサービスです。

従来の物理的なファイアウォールでは、遠隔拠点やクラウド上のリソースに対するセキュリティ保護は困難でした。

FWaaSを使うことで仮想的なファイアウォールを構築し、社内外のネットワークトラフィックを監視・制御することで、不正なアクセスを遮断しクラウドセキュリティを実現します。

CSPM （Cloud Security Posture Management）

CSPMは、クラウドセキュリティ状況を可視化し、脆弱性を検知するサービスです。

クラウドリソースの設定ミスや不適切な設定がセキュリティ脆弱性を引き起こすことがあるため、CSPMを使ってクラウド環境の設定を定期的に評価、確認する必要があります。

また、複数クラウドを使用している場合は、マルチクラウドに対応したCSPMを使うことで、すべてのクラウドセキュリティ状況を把握し、セキュリティリスクの早期発見につなげます。

これらのクラウドセキュリティソリューションは、クラウドサービスを利用するすべての企業のセキュリティ対策を強化するうえで不可欠といえます。

クラウドサービスを企業が導入する上でどう対策するべき？

クラウドサービスを有効活用するには、セキュリティポリシーの策定、従業員教育、適切な製品選定・導入、継続的な運用監視と対策の見直しが必須となります。

クラウドセキュリティは企業の重要な経営課題ですが、専門家不足や管理の難しさから、クラウドセキュリティをアウトソーシングする企業も増えています。

自社導入とアウトソーシングはどちらがおすすめ？

企業が最適なクラウドセキュリティを実現するため、自社でサービスの選定・導入を手がける方法と、セキュリティベンダーにアウトソーシングする方法があります。

ここでは、クラウドセキュリティを自社で導入し対策を進める場合と、アウトソーシングを活用する場合を比較してみましょう。

一般的には、初期投資とランニングコストの観点から見ると、アウトソーシングする場合の初期投資は低く、ランニングコストは定額のサービス料金になる傾向があります。

また、自社で運用管理する際は、専門の要員を確保する必要がありますが、アウトソーシングの場合は、セキュリティベンダーのセキュリティスペシャリストが持つ専門知識や経験を有効活用できるでしょう。

加えて、クラウドセキュリティの運用監視は、24時間365日の継続対応が必要となります。自社内で体制を作るとなると、大きな負担となりますが、これもアウトソーシングサービスを活用すれば軽減されます。

セキュリティベンダーが、日常運用やインシデント発生時の対処をすべてカバーするため、自社はコアビジネスにリソースを集中することができるのです。

クラウドセキュリティ対策をお考えならNECネッツエスアイにぜひご相談を

クラウドサービスは企業の生産性向上やコスト削減に大きな力を発揮しますが、一方でセキュリティ上のさまざまなリスクを伴います。

NECネッツエスアイは、長年にわたって培ってきたクラウドセキュリティの専門知識とノウハウを活かし、お客様のクラウド環境を総合的に守ります。

また、セキュリティの専門家がお客様のクラウド環境を常時監視し、不審な兆候があれば即座に通知します。

NECネッツエスアイはセキュリティベンダーとして豊富な実績があります。

セキュリティ対策環境の構築や万が一、インシデント発生時なども被害拡大を最小限に食い止めるべく速やかに対応可能です。

クラウドセキュリティ対策でお困りの方や体制構築を検討中のお客様は、ぜひNECネッツエスアイまでご相談ください。