クラウドセキュリティとは？クラウドのリスクとセキュリティ対策

テレワークの広がりも後押しし、クラウドサービスを利用する企業が近年増えてきました。クラウドは利便性が高い一方で、ネットワークを介してデータを保管するため、セキュリティ対策が必要不可欠です。

本記事では、クラウドセキュリティとは何か、そしてクラウドを利用するときに起こり得るリスクと対策について解説していきます。クラウドのセキュリティ対策を行い、安全にクラウドサービスを導入しましょう。

クラウドセキュリティとは？

クラウドセキュリティとは、クラウド環境におけるデータやシステムの安全性を確保し、データ漏えいなどのリスクに対するセキュリティ対策のことです。

近年普及してきた、テレワークや場所を問わない働き方などを導入する上で、欠かせないのがクラウドの利用です。どこからでもアクセスでき、物理的な制限がない便利さがあるクラウドサービス。

一方で、サイバー攻撃や不正アクセスの標的になるケースもあります。企業でクラウドサービスを利用する際には、クラウドのセキュリティ対策も同時に考えなくてはいけません。

そもそもクラウドとは？

クラウドとは、インターネットを通じてデータやプログラムを保存、処理する仕組みのことです。クラウドサービスを利用することで端末のデータ保存容量を気にせずに作業できたり、テレワークでもデータ共有をスムーズに行なったりすることができます。

クラウドのメリットとデメリットは下記の通りです。

クラウドサービスはメリットが多いですが、インターネット環境での利用が前提であるためセキュリティリスクが増大する場所ともいえます。例えば、不正なアクセスやデータが消失するリスクが挙げられます。

クラウドを利用する際には、データの安全性とプライバシーの保護を確保できるようなセキュリティ対策を実施することが非常に大切です。

クラウドとオンプレミス（自社運営システム）の違い

従来、自社での運営、保守をするオンプレミスが一般的でした。しかし近年では、さまざまなクラウドサービスが普及し、利用企業も増えています。

セキュリティレベル、データの保管場所、コスト、カスタマイズ性の違いについては下記の比較表の通りです。

先にクラウドサービスのセキュリティ対策が必要だと説明しましたが、セキュリティリスクがあるのはクラウドだけではありません。オンプレミスのシステムにもセキュリティ対策は必要です。

そのため、それぞれの特徴やリスクに合わせたセキュリティソフトの導入を検討しましょう。

クラウドサービスのセキュリティリスク

クラウドサービスはインターネットを介してデータを保管するため、セキュリティが不十分なままではさまざまなリスクが起こり得ます。

ここでは主なセキュリティリスクを4つ紹介します。具体的にどのようなリスクがあるのか1つずつ詳しく見ていきましょう。

サイバー攻撃

適切なセキュリティ対策が行われていないクラウドサービスはサイバー攻撃の標的になりやすいです。例えば「DDoS（ディードス）」や「ブルートフォースアタック」など、第三者からのサイバー攻撃の被害に遭うリスクが高まります。

• DDoS（ディードス）…複数のパソコンから特定のサーバーに対して一斉に大量のデータを送りつけ、ネットワークシステムをダウンさせて一時的に利用不能にする攻撃
• ブルートフォースアタック…「総当たり攻撃」とも呼ばれる、IDやパスワード、暗証番号などの考えうるすべてのパターンを入力し不正なログインを行う攻撃。万が一ログインされると、サーバー内のデータを破壊されたり持ち出されたりする

不正アクセス

クラウドサービスは、悪意ある第三者が不正にアクセスを試みることができるセキュリティリスクもあります。

昨今はマルウェアやフィッシング詐欺の被害に遭い、クラウドサービスのIDやログインが流出、不正アクセスされる事例もあります。

情報漏えい

データをインターネット上に保管するクラウドサービスは、サイバー攻撃や不正アクセスなどによって情報漏えいするリスクが高まります。

企業が保管している顧客の個人情報などのデータが流出すれば、企業の信頼を失う可能性もあるでしょう。

データの消失

サーバーの障害や不具合などによって、データが破損したり消失したりするリスクも抱えています。

また、複数人での共有が行いやすいことから、誤ってデータを消してしまうといったヒューマンエラーもあるでしょう。クラウド上のデータが消失しても復元ができる状態になっているかを確認しておくことが重要です。

クラウドサービス利用時の対策事項

ここまで、クラウドサービスのセキュリティリスクについて解説してきました。クラウドサービスを利用するときの具体的な対策には、下記の3つが挙げられます。

• 適切な情報セキュリティ対策を行っているか確認する
• セキュリティ基準を取得しているか確認する
• セキュリティ対策ソフトを導入する

適切な情報セキュリティ対策を行っているか確認する

クラウドサービスを利用する際は、総務省が推奨する情報セキュリティ対策を継続して適切に行っているかどうかを確認した上でサービスを選定する必要があります。

総務省が推奨する情報セキュリティ対策は下記の通りです。

• データセンターの災害対策や侵入対策など物理的な情報セキュリティ対策
• データのバックアップ
• ハードウェア機器の障害対策
• 仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
• 不正アクセスの防止
• アクセスログの管理
• 通信の暗号化の有無

⇒画像引用元：クラウドサービスを利用する際の情報セキュリティ対策｜国民のためのサイバーセキュリティサイト｜総務省

また、クラウドサービスは「パブリッククラウド」と「プライベートクラウド」の2つに大きく分類できます。

• パブリッククラウド…1つのクラウドを他の利用者と共有する
• プライベートクラウド…自社のシステム専用でクラウド利用が可能

プライベートクラウドは他の利用者とサーバーの共有をしないため、セキュリティリスクを下げることができます。

クラウドサービスの適切な情報セキュリティ対策については、総務省が2021年に発表した「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」にまとめられています。

SaaS事業者、PaaS事業者、IaaS事業者ごとに取りまとめられているのでぜひ参考にしてみてください。

⇒参考：クラウドサービス提供における 情報セキュリティ対策ガイドライン （第3版）｜総務省

セキュリティ基準を取得しているか確認する

クラウドを提供する会社がセキュリティ基準を取得しているかも確認しておきましょう。利用前に確認しておくことで、万が一のときの対応についても理解を深めることが可能です。

セキュリティの基準項目は、6つあります。詳細については、次章の『クラウドサービスの「セキュリティ基準」』にて解説します。

セキュリティ対策ソフトを導入する

クラウドの便益は魅力的ですが、マルウェア感染や不正アクセスによって、自社で管理しているIDやパスワードなどが外部に流出すれば、クラウド内のデータが被害に遭う危険性があります。

自社のセキュリティを万全にすることも、クラウドの情報セキュリティを強化することにも繋がるため、セキュリティ対策ソフトの導入を検討するのも良いでしょう。

クラウドサービスの「セキュリティ基準」

国内におけるクラウドサービスのセキュリティ基準は、下記の6つがあります。それぞれ簡単に説明します。

• ISMSクラウドセキュリティ認証（ISO27001/ISO27017）
• CSマーク
• CSA STAR認証（CSA Security）
• StarAudit Certification
• FedRAMP
• SOC2、SOC2＋

⇒参考：クラウドサービスに関連する 国内外の制度・ガイドラインの紹介｜一般財団法人日本情報経済社会推進協会

1.ISMSクラウドセキュリティ認証（ISO27001/ISO27017）

SMSクラウドセキュリティ認証（ISO27001/ISO27017）とは、クラウドサービスを提供する企業のクラウドサービスのセキュリティを保証するための国際的な認証です。

2.CSマーク

CSマークとは、日本の「特定非営利活動法人日本セキュリティ検査協会(JASA)」による情報セキュリティ監査制度で認定されたマークです。

3.CSA STAR認証（CSA Security）

CSA STAR認証（CSA Security）とは、米国業界団体「Cloud Security Alliance」によるセキュリティの成熟度評価によって認証されるものです。

4.StarAudit Certification

StarAudit Certificationとは、欧州のEuroCloud Europe (ECE)による認証制度のことです。

5.FedRAMP

「FedRAMP」は、米国政府機関がクラウドサービスを調達するにあたって採用している共通認証制度です。

6.SOC2、SOC2＋

SOCとは、米国公認会計士協会(AICPA)が定める、委託会社の内部統制やサイバーセキュリティについての内部統制保証報告の枠組みのことを指します。SOCの報告書の種類は複数あり、SOC2、SOC2＋が企業が監査してほしいサービスやシステムを対象としています。

クラウドサービスのセキュリティ対策とともに自社のネットワーク環境を確認しよう

この記事では、クラウドサービスのセキュリティリスクと対策について解説してきました。クラウドは利便性も高く、業務の効率化にも有効なツールです。

一方でサイバー攻撃や不正アクセスによる情報漏えいのリスクは高いため、適切なセキュリティ対策を行わなくてはなりません。

セキュリティ対策の1つとして、「自社の端末のセキュリティ対策」を万全にしておくことが重要です。不正アクセスのリスクを回避するには、マルウェアの侵入を防ぐためのセキュリティソフトの導入も有効な手段に挙げられます。

クラウドサービスの選定やセキュリティ対策とともに、セキュリティソフトを導入することで、より強固なセキュリティ対策が行えるでしょう。

ノートン360のセールス

ノートン360は世界シェアNo,1のセキュリティソフトです。世界中のセキュリティデータと数十年にわたる経験は、世界中で日々増え続けるマルウェア対策として有効です。実に1分間に数千もの脅威をブロックしております。

またノートン360は「ノートン プロテクション プロミス」というサービスを付与しており、ノートンの専門家がお使いのデバイスからマルウェア・ウイルスを駆除できなかった場合は、対象となるライセンスの現行の期間に対して実際に支払った金額について、全額返金が可能です。それほど、お使いのデバイスからマルウェア・ウイルスを保護する能力に自信と誇りを持っております。