クラウドサービスでの情報漏洩を防ぐには?流出する原因と対策
最近、良く耳にする「クラウドサービス」。
なんとなく意味がわかるようで、いまいちわからないという方もいらっしゃるのではないでしょうか。
現在、さまざまなシステムがクラウド化され、インターネット環境さえあれば、いつでもどこからでもアクセスできるので利便性が高まっています。
ただ、その反面、クラウドに預けた情報がきちんと守られているのかどうか、不安に思われる方もいらっしゃるでしょう。
個人はもとより企業の場合、セキュリティに穴があると大惨事になることも。できれば最悪な事態は回避したいところです。
では、クラウドサービスの利用では、どんな点に注意すれば良いのでしょうか?
今回は クラウドサービスで情報を漏洩させないための方法について、わかりやすくご紹介します。
目次
そもそもクラウドって何?
そもそもクラウドとは一体何でしょうか?クラウドとは「クラウドコンピューティング」を略した言葉です。
クラウドの意味は「(空に浮かぶ)雲」のことです。
簡単にいうと、クラウドとは「インターネット環境(クラウド環境)」のことです。
クラウドコンピューティングとは?
クラウドコンピューティングとは一体どんなものでしょうか?クラウドコンピューティングには、
次の2つの意味があります。
①インターネットを利用する
➁データを外部に置く
クラウドコンピューティングを一言でいうと「インターネット環境を利用して、外部にあるデータを使うこと」をいいます。
クラウドコンピューティングのイメージ
クラウドコンピューティングを使うイメージというと、「パソコンなどから閲覧して、ネットワークを経由した先にあるクラウドストレージ(サーバー、ストレージ)に存在しているデータなどを利用する」というものでしょう。
クラウドストレージとは、データなどが保存できる箱(データベース)のことです。
クラウドストレージには、データ以外にもソフトウェア、アプリケーション、フォーマット、プラットフォームなどが保存されます。
クラウドのセキュリティってどうなっているの?
クラウドのセキュリティとは一体どんなものでしょうか?
クラウドのセキュリティとは、主に次の3つの項目の保護と安全性を高めることをいいます。
それぞれご紹介します。
クラウドコンピューティング環境の保護と安全性を高める
通信データを暗号化する
通信データを暗号化するとは具体的には「SSL化」することです。
SSLとは「Secure Sockets Layer」のことで、インターネット上の通信を暗号化・複合化する技術のことです。もし、通信が「SSL化」されてないと、クラウドコンピューティング環境は、悪意のある第3者に傍受・改ざんされるリスクがあります。「SSL化」することで、クラウドコンピューティング環境を守ることができます。
ここでいうクラウドコンピューティング環境とは、パソコンからインターネットを経由してクラウドストレージまでの一連の通信環境のことをいいます。
クラウドで実行されるアプリケーションの保護・安全性を高める
クラウドで実行されるアプリケーションの保護・安全性を高めるとは「セキュアなアプリケーションを構築する」ことをいいます。
セキュア(secure)には、「安全な」などの意味があります。
セキュアなアプリケーションを構築する
セキュアなアプリケーションを構築するとは、具体的には「Web Application Firewallの導入」です。
Web Application Firewallを導入することで、アプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策ができます。
(3)クラウドに保存されているデータの保護・安全性を高める
クラウドに保存されているデータの保護・安全性を高めるとは「強固なユーザ認証の導入」のことをいいます。
強固なユーザー認証の導入
強固なユーザ認証の導入とは、具体的には「ワンタイムパスワードの導入」などです。
ワンタイムパスワードを導入すると、パスワードの期限が短くなるほど、かなり厳格なアクセス制限をすることが可能になります。
そうすることで、クラウドに保存されているデータの保護・安全性を高めることができます。
クラウドサービスで情報漏洩が起こると、どうなる?
情報漏洩が起きるのは良くないことであるとい認識は誰にでもあるでしょう。ただ、具体的にどんな悪影響が出るかまで把握できている方は少ないかもしれません。
もし、利用しているクラウドサービスから企業が取得した個人情報などが漏洩した場合、大きく次の3つの被害が考えられます。
信用の失墜
情報漏洩を起こした企業は、世間からの信用を失ってしまいます。
次でご紹介するような、漏洩した情報を悪用したサイバー攻撃などで、直接的な金銭被害が出なかったとしても、情報セキュリティ体制の甘さなどが露呈することで、企業の信頼性は低下してしまいます。
これにより、その企業のブランドや商品の買い控えが起きたり、株価が下落したりする可能性もあります。
不正利用
漏洩した個人情報(アカウント情報)を悪用して、別のクラウドサービスなどへ不正ログインされ、なりすましによる不正利用が行われる可能性があります。
たとえば、不正ログインされたサービスにクレジットカードなどが登録してあれば、不正な購入や送金が行われる恐れもあります。
別のサイバー攻撃の踏み台にされる
前項の「不正利用」と同様に、漏洩したアカウント情報を悪用した不正ログインによって、Webサイトの改ざんやトラベル詐欺など、別のサイバー攻撃の踏み台にされるリスクもあります。
たとえば、CMSのアカウント情報と同じID/パスワードを使いまわしていた場合、なりすましで該当のCMSにログインし、正規のユーザーとしてWebサイトにログインしてマルウェアを仕込まれる恐れもあります。
すると、そのWebサイトを閲覧したユーザーにまで被害が広がる可能性があります。
クラウドサービスで情報漏洩が起こる原因
では、クラウドサービスで起こる情報漏洩の原因となることは何でしょうか?
主な原因として「サイバー攻撃」と「設定ミス」の2点が挙げられます。
サイバー攻撃
外部からの標的型攻撃や脆弱性を突いた不正アクセス、フィッシング詐欺など、さまざまなサイバー攻撃が報告されています。
こうしたサイバー攻撃により、クラウドサービスのアカウント情報を窃取されると、不正アクセスによって情報が漏洩し、上記のような被害につながってしまいます。
設定ミス
クラウドサービスでは、ユーザー側で設定を変更できる項目があります。基本的に、初期設定ではセキュリティ面で安全な設定になっていますが、勘違いや操作ミスにより、意図しない変更をしてしまうことで、サイバー攻撃を受けやすくなることもあります。
たとえば、本来は閉じていなければならないポートを開放してしまったり、閲覧や編集を不可としておくべきところを公開や編集可能な設定にしてしまったりということが挙げられます。
クラウドサービスでの情報漏洩への対策方法
上記のような被害を受けないために、クラウドサービスを利用する際は、情報セキュリティ対策を口講じる必要があります。
以下で、そのためのヒントをご紹介いたします。
クラウドセキュリティのガイドライン
クラウドセキュリティに関して、政府機関からガイドラインが好評されています。
(1)総務省版について
総務省では「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」について意見募集を行いました。
12件の意見を元に「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」としてまとめ、公表されました。
クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」は以下のURLにまとめられています。
クラウドサービス提供における 情報セキュリティ対策ガイドライン
クラウドサービス提供における情報セキュリティ対策ガイドラインの改定の概要について
(2)経済産業省版について
経済産業省版のクラウドサービス利用のための情報セキュリティマネジメントガイドライン は以下のURLにまとめられています。
クラウドサービス利用のための 情報セキュリティマネジメントガイドライン
セキュリティは双方で対策が必要
クラウドセキュリティの仕組みとは一体どんなものでしょうか?
次の2つの部分から成ります。
(1)サービス事業者が管理する部分
サービス事業者が管理する部分は、主に次の4つです。
(1)管理ポータル(IDとパスワードを入力してクラウド管理用ポータルへログインすること)
(2)仮想化ハイパーバイザ(仮想化のためのOSのようなもの)
(3)インフラ機器(信頼性が高いサーバー・ストレージの導入)
(4)データセンターファシリティ(信頼性が高いデータセンター施設の購入)
(2)利用者側が管理する部分
利用者側が管理する部分は、主に次の5つです。
(1)管理ポータル(IDとパスワードを入力してクラウド管理用ポータルへログインすること)
(2)保存されるデータ(メインメモリに保存されるデータ)
(3)アプリケーション(ソフトウェア)
(4)ミドルウェア(アプリケーションとOSの間に位置し、アプリケーションが要求する特定の機能を提供するもの)
(5)OS(パソコンの基本ソフトウェア)
制作会社はもちろんセキュリティ対策を施していますが、ユーザー側でもセキュリティの意識を持っておくことが重要です。
ウイルスチェックを行う、パスワードを定期的に変える、USBメモリなどで安易にデータを抜き出して別のPCにささないなど、できることはたくさんあります。
オンプレミス型とクラウドの比較
最後に、オンプレミス型とクラウドの違いについて、ご紹介いたします。
オンプレミス型とは?
オンプレミス型とは、自社でサーバー、ソフトウェアなどのシステムの構築、ハードウェアの調達、システムの運用をするタイプのことです。
簡単にいうと、自社でサーバーを用意する仕組みのことです。
メリット
アクセスが社内ネットワークのみに制限できることから、セキュリティが高くなります。
デメリット
サーバーやシステムの購入・運用管理までを自社で行う必要があるので、時間とコストがかかります。
ユーザー層
自社の社員のみです。
クラウドとは?
クラウドとは、クラウドサービス事業者が管理・運営するサーバーやネットワークなどを使うことができるタイプのことです。
簡単にいうと、サーバー専門業者がサーバーを用意する仕組みのことです。
メリット
自社での購入やシステム構築や管理が不要になります。
デメリット
インターネット経由でアクセスするため、セキュリティ対策が重要になります。
ユーザー層
一般ユーザーなどです。
まとめ
クラウドサービスを利用する上で注意したい情報漏洩について、原因や対策などをご紹介しました。
オンプレミス環境に比べてメリットも多いクラウドサービスですが、セキュリティ面ではオンプレミス環境よりも劣る傾向があるため、上でご紹介したようなガイドラインを参考にセキュリティポリシーを定め、安全に運用しましょう。
なお、クラウドERPの「キャムマックス」では、これまで情報漏洩などの事故やセキュリティが突破された、などの事故はありません。
ウイルスに攻撃されないように設計をしていること、サーバーの管理も 自社スタッフで行い万全の体制を敷いておりますので、安心してご利用いただけます。
キャムマックスについて詳しくは、下記ページをご覧ください。
ウイルスに攻撃されないように設計をしていること、サーバーの管理も 自社スタッフで行い万全の体制を敷いておりますので ユーザー様は安心してご利用頂けます。
この記事を書いた人
下川 貴一朗
証券会社、外資・内資系コンサルティングファーム、プライベート・エクイティ・ファンドを経て、2020年10より取締役CFOとして参画。 マーケティング・営業活動強化のため新たにマーケティング部門を設立し、自ら責任者として精力的に活動している。