クラウドサービスのセキュリティ対策を強化して安全に運用する方法とは
クラウドサービスの普及に伴い、業務に使用する主要なシステムや社内の情報資産をオンプレミス環境からクラウド環境へ移行する企業が多く見られています。
クラウドサービスには、インターネット環境があれば場所や端末を問わずにアクセスできる利点がありますが、この利便性のよさがセキュリティ上の脅威になる可能性も考えられます。
情報システム部門や管理部門の担当者のなかには「クラウド事業者によるセキュリティの責任範囲はどこまでか」「クラウドサービスに対して自社はどのような対策を行えばいいか」と気になる方もいるのではないでしょうか。
この記事では、クラウドサービスにおけるセキュリティ対策の目的をはじめ、クラウド事業者と利用者側の責任範囲、自社でセキュリティ対策を強化するポイントについて解説します。
なお、社内に必要なセキュリティ対策についてはこちらの記事をご確認ください。
目次[非表示]
クラウドサービスにおけるセキュリティ対策の目的
企業がクラウドサービスを利用する際にセキュリティ対策を行う目的には、主に以下が挙げられます。
▼クラウドサービスにおけるセキュリティ対策の目的
- 第三者による不正アクセスを防ぐ
- 障害によるデータの消失を防ぐ
- 預けているデータの漏えいを防ぐ など
クラウドサービスにログインするユーザーのID・パスワードが外部に流出すると、第三者によって不正アクセスが行われ、クラウド上に保存しているデータが漏えいするリスクがあります。
不正アクセスを防ぐには、ID・パスワードの設定やアカウント情報の管理、ユーザー権限の設定などを行い、アクセスが必要な従業員のみ利用できるようにしておくことが必要です。
また、クラウドサービスの障害が発生して利用できなくなると、保存したデータが消失してしまう可能性があります。データが消失した場合に備えて、業務や情報共有を行うための代替手段を確保したり、バックアップをとったりする対策が求められます。
さらに、クラウド事業者へのサイバー攻撃が原因で、サービスの不具合や利用停止、アカウント情報の流出などが起こるケースも見られています。このようなトラブルを防いで情報資産を守るには、利用者側でセキュリティ対策を行うことが必要です。
クラウドサービスのセキュリティに関する責任範囲
クラウドサービスでは、利用者側が対応するセキュリティ対策の範囲を明確にするために、クラウド事業者と利用者で責任を共有する考え方(責任共有モデル)が採用されています。
責任共有モデルに基づくSaaS・PaaS・IaaSの一般的な責任分担の考え方は、以下のとおりです。
▼【利用形態別】クラウドサービスの責任範囲例
利用形態 |
概要 |
責任範囲 |
|
クラウド事業者 |
利用者 |
||
SaaS |
クラウド事業者が提供するソフトウェアやアプリケーションを利用する |
アプリケーション
ミドルウェア
OS
仮想環境
ハードウェア
ネットワーク
施設・電源
|
データ
アプリケーション(利用者レベルでの限定的な管理)
|
PaaS |
クラウド事業者が提供するプラットフォームを利用して、利用者がアプリケーションを開発する |
ミドルウェア
OS
仮想環境
ハードウェア
ネットワーク
施設・電源
|
データ
アプリケーション
|
IaaS |
クラウド事業者が提供するインフラを利用して、アプリケーションを開発する |
仮想環境
ハードウェア
ネットワーク
施設・電源
|
データ
アプリケーション
ミドルウェア
OS
|
ただし、クラウド事業者によってセキュリティ対策のレベルや保証の範囲などは異なるため、事前に利用規約を確認するとともに、自社でも万が一の備えを行うことが欠かせません。
出典:総務省『クラウドサービス提供における 情報セキュリティ対策ガイドライン(第3版)』
>>社内システム運用管理業務トータルサポートサービスに関する資料ダウンロードはこちら
クラウドサービス利用時のセキュリティ対策を強化するポイント
業務や情報資産の保存などにクラウドサービスを利用する際には、クラウド事業者のセキュリティ体制を確認するほか、自社でもツールを用いた技術的な対策を行うことが重要です。
①セキュリティ基準をクリアしているサービスを選ぶ
クラウドサービスを利用する際は、クラウド事業者のセキュリティ基準を確認しておくことがポイントです。
クラウド事業者による管理の責任範囲となる対象でも、障害や運用の不備などが原因で保存したデータが消失したり、サービスが使えなくなったりするケースが発生しています。
安全に利用できるクラウドサービスを選ぶために、国際規格や第三者機関からの評価を取得しているか確認しておく必要があります。
▼クラウドサービスに関する主な認証制度
認証制度 |
概要 |
対象 |
形態 |
|
ISMSクラウド
セキュリティ認証
|
ISOの国際規格 |
全世界 |
第三者認証 |
CSA STAR認証 |
米国の団体CSA(Cloud Security Alliance)の認証制度 |
全世界 |
自己認証・第三者認証・継続審査 |
CSマーク |
特定非営利活動法人日本セキュリティ検査協会の認証マーク |
日本 |
自己認証・第三者認証 |
|
StarAudit
Certification
|
CertificationはEuroCloud Europe(ECE)の認証制度 |
全世界 |
第三者認証 |
FedRAMP |
米国政府機関の認証制度 |
米国 |
第三者認証 |
SOC2(SOC2+) |
米国公認会計士協会(AICPA)の枠組み |
全世界 |
第三者認証 |
②ゼロトラストセキュリティの導入
ゼロトラストセキュリティとは、自社の情報資産へのアクセスについて“一切信頼しない”ことを前提にセキュリティ対策を行う考え方です。
クラウドサービス自体が認証制度のセキュリティ基準をクリアしていても、そこにアクセスするネットワーク・デバイス・ユーザーなどについては信頼しないものとしてセキュリティ対策を行う必要があります。
▼クラウドサービスにおけるゼロトラストセキュリティの例
対象 |
具体例 |
ネットワーク管理 |
クラウドVPNの導入
SWG(※1)によるネットワーク制御
|
ID管理 |
管理者への特権IDの割当て・制御
業務内容や役職に応じたユーザー権限の設定
|
認証 |
多要素認証の導入
SSO(シングルサインオン)(※2)の導入
|
エンドポイント管理 |
遠隔操作によるデータの消去・ロック(MDM)
デバイスの監視と脅威の検知(EDR)
デバイスへのセキュリティポリシーの配布
|
また、クラウドサービスの利用形態によってセキュリティの責任範囲が異なるため、それぞれに応じた対策が求められます。
クラウド上のデータだけでなく、アプリケーション層・OS・ミドルウェア層まで対策する場合には、セキュリティツールのWAF・IDS・IDPやウイルス検知ソフトウェアなどの導入を検討することがポイントです。
※1…Secure Web Gatewayの略。デバイスから社外ネットワークへの通信を監視して、脅威の検知・遮断を行うツールのこと。
※2…一つのID・パスワードで一度の認証を行うことで、複数のシステムにログインできる仕組みのこと。
③CSPMを導入してクラウドサービスを一元管理する
CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)は、クラウドの不適切な設定やコンプライアンス違反、脆弱性診断などを行い、セキュリティの設定ミスを防ぐソリューションです。
クラウドサービスの利用によって生じる不正アクセスや情報漏えいのトラブルは、管理者によるユーザー権限、アクセス制限などの設定ミスが原因で起こるケースも少なくありません。
CSPMを導入することで、クラウドサービスの利用状況やリスクを可視化して、安全に利用できる設定内容へと修正を行えます。
▼CSPMでできること
- 設定のチェック・評価を行う
- 国際基準のセキュリティチェックができる
- 設定ミスとインシデントを発見する
- クラウドサービスを一元管理する
- ASM(※)でセキュリティリスク対策ができる など
※ASM(Attack Surface Management:アタックサーフェス管理)とは、外部から攻撃される可能性がある資産を継続的に探知する機能
まとめ
この記事では、クラウドサービスのセキュリティ対策について以下の内容を解説しました。
- クラウドサービスにおけるセキュリティ対策の目的
- セキュリティに関するクラウド事業者と利用者の責任範囲
- クラウドサービス利用時のセキュリティ対策を強化するポイント
クラウドサービスには、クラウド事業者が管理するセキュリティの責任範囲が定められてますが、サイバー攻撃や運用の不備などによってトラブルが起こるケースが見られています。また、セキュリティ対策のレベルや保証の範囲についてもクラウド事業者によって異なります。
安全にクラウドサービスを利用するには、事前に利用規約と認証の有無を確認するとともに、ゼロトラストセキュリティの考えに基づいて自社でも技術的な対策を行うことが重要です。
『FGLテクノソリューションズ』の社内システム運用管理サービスでは、業務基盤となるITインフラの構築や保守運用、死活監視などの幅広いIT業務をサポートしております。貴社の環境や課題に応じて必要なセキュリティ対策をご提案します。
サービスの詳細については、こちらから資料をダウンロードしていただけます 。
