業務を効率的に運用していくためにクラウドサービスを利用したいが、「セキュリティが不安」と感じるためになかなか導入に踏み切れないという企業・組織の方が増えています。

今回はそんなクラウドサービスに不安を感じる方に向けて以下について解説していきます。

• クラウドサービスは本当にセキュリティリスクが高いのか
• クラウドサービス導入にあたり、どのような対策が必要なのか
• セキュリティ対策を自社で行うことが可能なのか

ぜひ最後まで読んでみてください。

クラウドサービスは本当にセキュリティリスクが高いのか

「クラウドセキュリティ」とはクラウドサービスの使用時に発生するリスクに対するセキュリティ対策のことです。

クラウドサービスの利用においては、外部からの不正アクセスや情報漏えいなどのリスクがあるため、十分なセキュリティ対策を講じる必要があります。

従来の主流だったオンプレミス環境にはないリスクに対策が必要となりますが、本当にクラウド環境課は、従来、よく使われていたオンプレミス環境よりもリスクが高いのでしょうか。

オンプレミス型とクラウド型の比較

オンプレミスはクローズド(閉じられた)ネットワークの内側なので外部と接続しないように設計されています。 

そのため攻撃を受けたり不正アクセスや情報漏洩が発生するリスクが低いとされています。 

対してクラウド環境はインターネット経由での利用が前提となっており、外部からのデータハックが起こりやすいため、不安とされる原因の1つではないでしょうか？

またほとんどの場合、クラウドサービス側やベンダーのセキュリティ対策を信用して任せることになり、「サービス側でどのようなセキュリティ対策が行われているのか分からない」「自分で設定できないことが多く不安」という声が挙がるケースが見受けられます。

もちろんクラウドサービスによりセキュリティ対策の強度は様々ですが、クラウドサービス導入前にこのような背景を知っておくのが良いでしょう。

クラウドサービス導入にあたり、どのような対策が必要なのか

クラウドサービス導入により、よく不安に感じると挙げられるポイントです。

1. サイバー攻撃
2. データ保全は万全なのか
3. 運用管理はきちんとされるのか

不安を感じるリスクポイント①サイバー攻撃

クラウドサービスはインターネット経由でデータにアクセスしますので、接続用の認証や設定の誤りによって、意図しない人からのアクセス、参照できてしまうといった不安があるかと思います。

またマルウェアなどに感染してデータが流出、漏洩してしまうのではないかという不安もです。 

また近年、サイバー攻撃も増加しています。情報の抜き取りや改変、データがロックされ、身代金の要求をされるなどもリスクとして感じている方は多いでしょう。

不安を感じるポイント②データ保全は万全なのか

障害やトラブルがクラウドサービス側で起こってしまった際に、サービス停止になり大事なデータにアクセスできなくなるのではないか、またサービスが停止してしまうとデータが損失してしまうのではないかというという不安に思われる方も多いです。

不安を感じるポイント③運用管理はきちんとされるのか

これまでオンプレミス環境になれた方はインターネット経由でアクセスできてしまうクラウドサービスがデータがオープンになってしまっているような感覚があり、ハイリスクだと思われるようです。

これら不安に対してどのような対策を行うべき？

上記のような不安点に対して、まずクラウドサービス側はさまざまなセキュリティ対策を行っています。この必要とされるセキュリティ対策は総務省や経済産業省がそれぞれガイドラインを定めており、これらに準拠しているクラウドサービスはきちんとセキュリティ対策を行えていると言えそうです。

また裏を返せば、ガイドラインに沿っているクラウドサービスを利用するのが不安を感じる機会を減らすことになりそうです。 

クラウドセキュリティについて定められた二つのガイドライン

1. 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン」
2. 経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」（通称：クラウドセキュリティガイドライン）

総務省の「クラウドサービス提供における情報セキュリティ対策ガイドライン」はユーザーがクラウドサービスを利用する際に読んでおくべき内容となっています。

経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」はユーザーがクラウドサービスを選定する際に役立つ内容となっています。 

クラウドサービスが行うクラウドセキュリティ対策

クラウドサービスを利用するときは、以下に示す、セキュリティ対策を検討する必要があります。

• 個人情報や通信の暗号化オプションの設定
• 提供しているアプリケーションの脆弱性対策によるセキュリティ向上
• オートスケーリングや冗長化、アクセス制御によるDDoS対策
• 特定のIPアドレスからのアクセス制限や対策ツールによる不審なアクセスの遮断
• データセンターの物理的な障害対策
• ログの取得による速やかな状況把握と原状回復の準備

人的要因のセキュリティ対策も併せて検討が必要です。

これら不安を解消するためには上記、ガイドラインに沿って対策を行っているクラウドサービスを選定することはもちろん、ユーザーもセキュリティ対策を行っていく必要があります。

• パスワード管理の徹底、2段階認証の導入、ワンタイムパスワード設定など認証の厳格化
• アクセス権限の管理の徹底、不要なサービスの整理
• メールのフィルター設定による不正アクセス防止
• マルウェア対策のソフトウェアやソリューションの導入
• パスワード不要のフリーWifiなどへの接続禁止

安全なビジネス環境を築くソリューション

前述で説明した、クラウドセキュリティ対策するために、以下のソリューションの導入を検討しましょう。 

SWG：安全なWeb利用を実現

SWG (Secure Web Gateway) は、Webサイトへのセキュリティを強化するためのソリューションです。

SWGは、従業員のWebサイト閲覧やファイルダウンロードなどを監視し、不適切なサイトへのアクセスの制御を行います。

これにより、マルウェア感染や不正アクセスなどの脅威を検知・ブロックし、安全なWeb利用を実現します。

CASB：クラウド上のデータを保護

CASB（Cloud Access Security Broker）は、SaaSクラウドサービスを利用する際のセキュリティを強化する機能を提供します。

シャドーITの利用を可視化したり、正規のクラウドへのアクセスであっても、データ漏洩や不正アクセスなどがないよう、データ保護、アカウント管理を徹底します。

FWaaS：高度なファイアウォール機能を提供

FWaaS（Firewall as a Service）は、クラウド上でファイアウォール機能を提供するソリューションです。

物理的なファイアウォールでは、分散拠点やクラウド上のリソースに対するセキュリティ保護が困難でしたが、FWaaSではクラウド上に仮想的なファイアウォールを構築し、社内外のネットワークトラフィックを監視・制御することを可能とします。

これにより、ネットワークを保護し、不正アクセスを防ぐことができます。

CSPM：クラウドサービスのセキュリティ設定を強化

CSPM（Cloud Security Posture Management）は、クラウド環境のセキュリティ状況を可視化し、脆弱性を検知するソリューションを提供します。

CSPMを使ってクラウド環境の設定を定期的に確認し、評価することで、クラウド上の設定ミスや不適切な設定によるセキュリティ脆弱性を早期に発見します。

マルチクラウド環境にも、効果を発揮することができます。

IDaaS：強固な認証管理基盤を構築

IDaaS（Identity as a Service）は、クラウドサービス上で提供される強固な認証管理基盤を構築するソリューションです。

従来のオンプレミス型のID管理とは異なり、インターネット経由で利用できるため、導入や運用が比較的容易で、コストを抑えられるというメリットがあります。

多要素認証やシングルサインオンなどの機能を提供します。

その他のソリューション

上記以外にも、DLP(Data Loss Prevention)によるデータ損失防止や、EPP(Endpoint Protection Platform）/EDR（Endpoint Detection and Response）によるエンドポイントデバイスを防御するソリューションなど、さまざまなソリューションがあります。

自社のニーズに合わせ、クラウドセキュリティを強化するソリューションを導入しましょう。

アウトソーシングという選択肢

クラウドセキュリティ対策の導入や運用は、専門知識が必要となるため、自社だけで対応することが難しい場合もあります。

そのような時は、セキュリティアウトソーシングを専門に提供している企業のサービスを活用するのも良いでしょう。

アウトソーシングのメリット

自社でクラウドセキュリティの導入や運用管理を行う際は、専任のクラウドセキュリティの知見を持った要員や対策環境を確保しなければならず、立ち上げだけでも多額なコストがかかります。

そこでぜひご提案したいのが、アウトソーシングの活用となります。

クラウドセキュリティ部門を外部に委託することで、初期費用に加え、月額や年額のランニングコストの削減を見込めます。

また、外部のサイバーセキュリティ/ネットワークのセキュリティベンダーを活用することで、彼らの専門知識や経験を有効活用できます。

セキュリティ対策の運用監視は、24時間365日、常時継続的に行う必要があります。自社内に専門の組織体制を作ると、相応の負担が発生しますが、外部に委託すれば、軽減できます。

外部に委託することで、負担軽減した部分を自社のコアビジネスに集中することができます。

不安を感じるのであれば、まずNECネッツエスアイまでお気軽にお問い合わせください

いかがだったでしょうか、今回はクラウドサービスを利用する際にセキュリティに不安を感じられている方にクラウドサービスについて、またそれを取り巻く環境やセキュリティ対策について詳しく解説してきました。

前項でお伝えしたようにいくら便利なクラウドサービスといえど、不安を抱えたままではやはり自社導入に抵抗を感じるという方は多くいらっしゃると思います。

その場合はサイバーセキュリティ/ネットワークのセキュリティベンダーであるNECネッツエスアイにまずはお気軽にご相談ください。

豊富な経験と実績に基づき、お客様に最適なクラウドセキュリティサービスを提供可能です。

まずはお客様の感じられている不安点を丁寧にヒアリング。その後セキュリティ要件に合わせた最適なソリューションを、導入から運用まで一貫してサポートいたします。