業務を効率的に運用していくためにクラウドサービスを利用したいが、「セキュリティが不安」と感じるためになかなか導入に踏み切れないという企業・組織の方が増えています。
今回はそんなクラウドサービスに不安を感じる方に向けて以下について解説していきます。
ぜひ最後まで読んでみてください。
「クラウドセキュリティ」とはクラウドサービスの使用時に発生するリスクに対するセキュリティ対策のことです。
クラウドサービスの利用においては、外部からの不正アクセスや情報漏えいなどのリスクがあるため、十分なセキュリティ対策を講じる必要があります。
従来の主流だったオンプレミス環境にはないリスクに対策が必要となりますが、本当にクラウド環境課は、従来、よく使われていたオンプレミス環境よりもリスクが高いのでしょうか。
オンプレミスはクローズド(閉じられた)ネットワークの内側なので外部と接続しないように設計されています。
そのため攻撃を受けたり不正アクセスや情報漏洩が発生するリスクが低いとされています。
対してクラウド環境はインターネット経由での利用が前提となっており、外部からのデータハックが起こりやすいため、不安とされる原因の1つではないでしょうか?
またほとんどの場合、クラウドサービス側やベンダーのセキュリティ対策を信用して任せることになり、「サービス側でどのようなセキュリティ対策が行われているのか分からない」「自分で設定できないことが多く不安」という声が挙がるケースが見受けられます。
もちろんクラウドサービスによりセキュリティ対策の強度は様々ですが、クラウドサービス導入前にこのような背景を知っておくのが良いでしょう。
| ネットワーク | データの保管 | サービス運用 | |
|---|---|---|---|
| オンプレミス型 | クローズド | サービス側のサーバーに保管 | 自社 |
| クラウド型 | インターネット経由 | クラウド上に保管 | サービス側とベンダー |
クラウドサービス導入により、よく不安に感じると挙げられるポイントです。
クラウドサービスはインターネット経由でデータにアクセスしますので、接続用の認証や設定の誤りによって、意図しない人からのアクセス、参照できてしまうといった不安があるかと思います。
またマルウェアなどに感染してデータが流出、漏洩してしまうのではないかという不安もです。
また近年、サイバー攻撃も増加しています。情報の抜き取りや改変、データがロックされ、身代金の要求をされるなどもリスクとして感じている方は多いでしょう。
障害やトラブルがクラウドサービス側で起こってしまった際に、サービス停止になり大事なデータにアクセスできなくなるのではないか、またサービスが停止してしまうとデータが損失してしまうのではないかというという不安に思われる方も多いです。
これまでオンプレミス環境になれた方はインターネット経由でアクセスできてしまうクラウドサービスがデータがオープンになってしまっているような感覚があり、ハイリスクだと思われるようです。
上記のような不安点に対して、まずクラウドサービス側はさまざまなセキュリティ対策を行っています。この必要とされるセキュリティ対策は総務省や経済産業省がそれぞれガイドラインを定めており、これらに準拠しているクラウドサービスはきちんとセキュリティ対策を行えていると言えそうです。
また裏を返せば、ガイドラインに沿っているクラウドサービスを利用するのが不安を感じる機会を減らすことになりそうです。
総務省の「クラウドサービス提供における情報セキュリティ対策ガイドライン」はユーザーがクラウドサービスを利用する際に読んでおくべき内容となっています。
経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」はユーザーがクラウドサービスを選定する際に役立つ内容となっています。
クラウドサービスを利用するときは、以下に示す、セキュリティ対策を検討する必要があります。
これら不安を解消するためには上記、ガイドラインに沿って対策を行っているクラウドサービスを選定することはもちろん、ユーザーもセキュリティ対策を行っていく必要があります。
前述で説明した、クラウドセキュリティ対策するために、以下のソリューションの導入を検討しましょう。
SWG (Secure Web Gateway) は、Webサイトへのセキュリティを強化するためのソリューションです。
SWGは、従業員のWebサイト閲覧やファイルダウンロードなどを監視し、不適切なサイトへのアクセスの制御を行います。
これにより、マルウェア感染や不正アクセスなどの脅威を検知・ブロックし、安全なWeb利用を実現します。
CASB(Cloud Access Security Broker)は、SaaSクラウドサービスを利用する際のセキュリティを強化する機能を提供します。
シャドーITの利用を可視化したり、正規のクラウドへのアクセスであっても、データ漏洩や不正アクセスなどがないよう、データ保護、アカウント管理を徹底します。
FWaaS(Firewall as a Service)は、クラウド上でファイアウォール機能を提供するソリューションです。
物理的なファイアウォールでは、分散拠点やクラウド上のリソースに対するセキュリティ保護が困難でしたが、FWaaSではクラウド上に仮想的なファイアウォールを構築し、社内外のネットワークトラフィックを監視・制御することを可能とします。
これにより、ネットワークを保護し、不正アクセスを防ぐことができます。
CSPM(Cloud Security Posture Management)は、クラウド環境のセキュリティ状況を可視化し、脆弱性を検知するソリューションを提供します。
CSPMを使ってクラウド環境の設定を定期的に確認し、評価することで、クラウド上の設定ミスや不適切な設定によるセキュリティ脆弱性を早期に発見します。
マルチクラウド環境にも、効果を発揮することができます。
IDaaS(Identity as a Service)は、クラウドサービス上で提供される強固な認証管理基盤を構築するソリューションです。
従来のオンプレミス型のID管理とは異なり、インターネット経由で利用できるため、導入や運用が比較的容易で、コストを抑えられるというメリットがあります。
多要素認証やシングルサインオンなどの機能を提供します。
上記以外にも、DLP(Data Loss Prevention)によるデータ損失防止や、EPP(Endpoint Protection Platform)/EDR(Endpoint Detection and Response)によるエンドポイントデバイスを防御するソリューションなど、さまざまなソリューションがあります。
自社のニーズに合わせ、クラウドセキュリティを強化するソリューションを導入しましょう。
クラウドセキュリティ対策の導入や運用は、専門知識が必要となるため、自社だけで対応することが難しい場合もあります。
そのような時は、セキュリティアウトソーシングを専門に提供している企業のサービスを活用するのも良いでしょう。
自社でクラウドセキュリティの導入や運用管理を行う際は、専任のクラウドセキュリティの知見を持った要員や対策環境を確保しなければならず、立ち上げだけでも多額なコストがかかります。
そこでぜひご提案したいのが、アウトソーシングの活用となります。
クラウドセキュリティ部門を外部に委託することで、初期費用に加え、月額や年額のランニングコストの削減を見込めます。
また、外部のサイバーセキュリティ/ネットワークのセキュリティベンダーを活用することで、彼らの専門知識や経験を有効活用できます。
セキュリティ対策の運用監視は、24時間365日、常時継続的に行う必要があります。自社内に専門の組織体制を作ると、相応の負担が発生しますが、外部に委託すれば、軽減できます。
外部に委託することで、負担軽減した部分を自社のコアビジネスに集中することができます。
いかがだったでしょうか、今回はクラウドサービスを利用する際にセキュリティに不安を感じられている方にクラウドサービスについて、またそれを取り巻く環境やセキュリティ対策について詳しく解説してきました。
前項でお伝えしたようにいくら便利なクラウドサービスといえど、不安を抱えたままではやはり自社導入に抵抗を感じるという方は多くいらっしゃると思います。
その場合はサイバーセキュリティ/ネットワークのセキュリティベンダーであるNECネッツエスアイにまずはお気軽にご相談ください。
豊富な経験と実績に基づき、お客様に最適なクラウドセキュリティサービスを提供可能です。
まずはお客様の感じられている不安点を丁寧にヒアリング。その後セキュリティ要件に合わせた最適なソリューションを、導入から運用まで一貫してサポートいたします。
Sakanishi Kazuma
