「クラウドセキュリティ」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。

これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。

本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

近年テレワークの導入が進み、クラウドサービスを利用する企業が増加しています。

今回のテーマは、クラウドを利用する際に気を付けなければならない「クラウドセキュリティ」です。

クラウド利用のリスク

企業のあらゆる規模や業種において、クラウドは今や欠かすことのできない社会インフラとなっています。

スマートフォンを使っていれば、iCloudやGoogleドライブといったクラウドサービスは日常的に使用するツールとなってきています。

また、企業環境においてもWord、Excel、PowerPointなどのMicrosoft365や各種会計ソフトのようなクラウドベースのアプリケーションが広く利用されています。

しかし、これらの利便性の背後には、いくつかの重大なリスクが潜んでいます。

（１）自由なアクセスに伴うセキュリティリスク

IDとパスワードによる認証のみで、だれでもどこからでもアクセスができること。これこそがクラウドの最も便利なところですが、企業にとってはリスクもあります。

従業員が業務時間外に不適切な利用を行う、サイバー攻撃者に認証情報の不正取得をされるリスクがあります。一度攻撃者に認証情報が漏れると、クラウドに格納されている情報は窃取されます。

（２）導入の容易さと潜在リスク

簡単に利用を開始できることがクラウドの良いところです。

しかし、それゆえに部門ごとに個別の契約がなされるケースもあり、企業の財務に隠れた負債が生じる可能性があります。

これが企業の隠れ債務となる可能性があるのです。

（３）セキュリティ対策の不備

クラウドサービスの中には、セキュリティ対策や可用性が不十分なものもあります。

過去には、個人情報の漏えい、システムの長期間の停止やデータの消失が発生したクラウドもありました。

契約したクラウドサービスでインシデントが発生した場合、自社の機密情報漏えいや業務停止が起こります。

また、一部の国や地域では、公権力へのデータ開示が義務づけられています。クラウドを構成するサーバーは、存在する国・地域の法律が適用されるので注意が必要です。

クラウドを安全に使うには

クラウドの持つメリットを最大限に活用しつつ、安全に利用するためには、提供されるサービスや機能、利用条件を確認することが最も重要です。確認する項目は次の通りです。

（１）機能適合性の確認

まず、選定するクラウドサービスが自社の業務要件に合っているかを確認することが重要です。

多くのクラウドサービスはお試し期間を設けているので、事前に試してみることをお勧めします。

クラウド契約のなかには、部門単位の契約を認めておらず、全社員分の契約を要求するものもあります。必ず契約内容を確認してください。

（２）セキュリティレベルの確認

次に、クラウドサービスが取り扱う情報の重要性に応じたセキュリティ対策が講じられているかを確認します。クラウドのセキュリティレベルは様々です。

IDとパスワードによる認証のみに依存しない、二要素認証や二段階承認などの追加セキュリティが実装されていることが望ましいです。

また、サービスを海外で展開する場合には、該当のクラウドがGDPR（General Data Protection Regulation：EU一般データ保護規則）に準拠しているか、サーバー所在地の国や地域の法律の確認も必要になります。

（３）信頼できる提供者の選定

どんなに機能的に優れたサービスであっても、信頼できない企業が運営しているクラウドに自社のデータを預けませんよね。

セキュリティ対策はもちろんのこと、クラウドサービスの提供者がどれほど信頼できるかという点も重要なポイントです。

提供者が十分な資金力を持ち、セキュリティ更新やデータのバックアップなどが堅実に行えるかどうかを確認することで、リスクを軽減できます。

クラウドサービス利用時のルール整備

最後に、自社内でのクラウドサービス利用に関するルールの策定が欠かせません。

申請方法、利用権限、データの配置方法など、セキュリティを考慮した利用方法が決められていないと、本来安全に使えるクラウドでの情報漏えい事故が発生する可能性が高まります。ルールを策定し、安全にクラウドを利用できる環境を整えましょう。

クラウドを使う目的を明確にし、自社にあったルールを制定してから、利用することが重要です。

まとめ

クラウドサービスは、正しく利用すれば非常に便利で安全なサービスです。

しかし、利用にあたっての適切な対策を怠った場合、大きな問題を引き起こすリスクがあります。各機関が発行しているガイドラインや資料を参考にすることで、さらに効果的な対策の構築が期待できます。

サービスの特徴を十分理解し、安全に利用するための準備を整えましょう。

参考文献 

1. 「中小企業のためのクラウドサービス安全利用の手引き」　（独立行政法人情報処理推進機構（IPA））
   https://www.ipa.go.jp/security/sme/f55m8k0000001wpl-att/outline_guidance_cloud.pdf 

2. 中小企業の情報セキュリティ対策ガイドライン　付録6：中小企業のためのクラウドサービス安全利用の手引き　（IPA）
   https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000072150.pdf  

3. クラウドサービス提供における情報セキュリティガイドライン（第3版）　総務省
   https://www.soumu.go.jp/main_content/000771515.pdf 

4. クラウドセキュリティガイドライン 活用ガイドブック（2013年度版）　経済産業省
   https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudseckatsuyou2013fy.pdf