メインコンテンツにスキップする

クラウドセキュリティとは

クラウドセキュリティとは

クラウドセキュリティの定義

クラウドセキュリティは、クラウドコンピューティングシステムの安全確保に特化した、サイバーセキュリティの1分野です。クラウドセキュリティには、オンラインベースのインフラやアプリケーション、プラットフォーム全体でデータを非公開にし、安全に保つことも含まれます。これらのシステムの安全確保には、システムを活用するプロバイダやその利用者(個人や中小企業、大規模組織の利用かどうかを問わず)の努力が必要です。

クラウドプロバイダは、インターネットの常時接続によって、サーバーでサービスをホストしています。その事業は顧客の信頼の上に成り立っているため、クラウドセキュリティ対策によって、顧客のデータを非公開にし、安全に保管しています。しかし、クラウドセキュリティは、一部、利用者側にも任されています。健全なクラウドセキュリティ対策には、クラウドプロバイダと利用者の双方がクラウドセキュリティを理解することが極めて重要です。

クラウドセキュリティの中核は、以下のカテゴリーで構成されています。

  • データセキュリティ
  • IDアクセス管理(IAM)
  • ガバナンス(脅威の防止・検出・軽減対策)
  • データ保持(DR)とビジネス継続性(BC)の計画の立案
  • 法令順守(リーガルコンプライアンス)

クラウドセキュリティは旧式のITセキュリティと思われるかもしれませんが、この枠組みにはさまざまなアプローチが必要です。まずは、深く掘り下げる前に、クラウドセキュリティとはどういったものなのかを見ていくことにしましょう。

クラウドセキュリティとは

クラウドセキュリティは、クラウドコンピューティング環境、クラウドで動作するアプリケーションおよびクラウドで保持されるデータを守る、技術とプロトコルとベストプラクティスを一体化させたものです。クラウドサービスを守るための第一歩は、具体的に何を守るのかについて、また、管理する必要のあるシステムの側面を理解することです。

総合的に見て、セキュリティの脆弱性に備えるバックエンド開発の大部分はクラウドサービスプロバイダに委ねられています。利用者は、セキュリティに対する意識が高いプロバイダを選ぶだけでなく、適切なサービス構成と安全な使用習慣を重視する必要があります。また、利用者は、エンドユーザーのハードウェアとネットワークが適切に守られているかに注意する必要もあります。

クラウドセキュリティは、利用者の義務に関係なく、全体として以下を守るよう設計されています。

  • 物理ネットワーク — ルーター、電力、ケーブルの施設、環境制御など
  • データストレージ — ハードドライブなど
  • データサーバー — コアネットワークのコンピュータハードウェアとソフトウェア
  • コンピュータの仮想化フレームワーク — 仮想マシンソフトウェア、ホストマシン、ゲストマシン
  • オペレーティングシステム(OS) — ハウジングするソフトウェア
  • ミドルウェア — アプリケーション・プログラミング・インターフェース(API)管理
  • ランタイム環境 — 実行中のプログラムの実行と維持
  • データ — 保管、変更、アクセスされた全情報
  • アプリケーション — 従来のソフトウェアサービス(Eメール、税務ソフトウェア、プロダクティビティスイートなど)
  • エンドユーザーのハードウェア — PC、モバイル機器、IoT機器など

これらの要素の所有権は、クラウドコンピューティングによって大きく異なります。このために、利用者のセキュリティの責任の範囲が曖昧になる可能性があります。クラウドを保護することは、各要素の権限を誰が有するかによって変わるため、これらの要素が、一般的にどのように分類されるかを理解することが重要です。

簡単に言うと、クラウドコンピューティングの構成要素は、次の2つの観点から保護されています。

1. クラウドサービスの種類は、クラウド環境を構築するために使われるモジュールとして、サードパーティプロバイダから提供されます。サービスの種類によって、そのサービスに含まれる、異なるレベルの要素を管理できます。

  • サードパーティクラウドサービスには、物理ネットワークやデータストレージ、データサーバーやコンピュータ仮想化フレームワークを管理するプロバイダも含まれます。サービスはプロバイダのサーバーに保存され、プロバイダ組織内で管理されるネットワーク経由で仮想化され、リモートでアクセスする利用者に提供されます。このオフロードハードウェアやその他のインフラは、利用者がインターネットに接続して、どこからでもコンピューティングに必要なものにアクセスできるようにするために必要です。
  • サービス型ソフトウェア(SaaS)クラウドサービスは、プロバイダのサーバーで完全にホストされ、プロバイダのサーバーで動作するアプリケーションを利用者が利用できるようにします。プロバイダは、アプリケーション、データ、ランタイム、ミドルウェア、オペレーティングシステムを管理します。利用者が行うのは、アプリケーションを入手することだけです。SaaSクラウドサービスには、Googleドライブ、Slack、Salesforce、Microsoft 365、CiscoのWebEx、Evernoteなどがあります。
  • サービス型プラットフォーム(PaaS)クラウドサービスは、利用者が、プロバイダのサーバーにある専用の「サンドボックス」で動作させる、自身のアプリケーションを開発するためのホストを提供します。プロバイダは、ランタイム、ミドルウェア、オペレーティングシステムを管理します。利用者が行う必要があるのは、プリケーション、データ、ユーザーアクセス、エンドユーザー機器とエンドユーザーネットワークの管理です。PaaSクラウドサービスには、Google App EngineやMicrosoft Azureがあります。
  • サービス型インフラ(IaaS)クラウドサービスは、利用者のコンピューティングを、オペレーティングシステムに至るまでひとまとめでハウジングするハードウェアとリモート接続フレームワークを利用者に提供します。プロバイダは、中核のクラウドサービスを管理するだけです。利用者が行う必要があるのは、アプリケーションやデータ、ランタイム、ミドルウェアやOSそのものなど、オペレーティングシステムの後にスタックしたものすべてを保護することです。また、ユーザーアクセス、エンドユーザー機器とエンドユーザーネットワークも管理する必要があります。IaaSクラウドサービスには、Microsoft Azure、Google Compute Engine(GCE)、アマゾンウェブサービス(AWS)があります。

2. クラウド環境は、1つまたは複数のクラウドサービスがエンドユーザーや組織向けのシステムを構築するモデルを実装します。モデルによって、利用者とプロバイダとの間のセキュリティを含めた義務の線引きが決まります。

クラウド環境には、次の種類があります。

  • パブリッククラウド環境は、オフィスビルやコワーキングスペースのように、利用者がプロバイダのサーバーを他の利用者と共用するマルチテナントクラウドサービスで構成されています。これらは、プロバイダが実行してウェブ経由で利用者が利用できるようにする、サードパーティサービスです。
  • プライベート・サードパーティ・クラウド環境は、利用者が自らのクラウドを独占的に利用できるようにするクラウドサービスの利用に基づいています。このシングルテナント環境は、通常、外部のプロバイダによってオフサイトで所有、管理、運用されています。
  • プライベート・インハウス・クラウド環境もシングルテナントクラウドサービスで構成されていますが、自社のデータセンターで運用されます。この場合、このクラウド環境はその企業自身が運用して、すべての構成や各要素の設定を行えます。
  • マルチクラウド環境には、異なるプロバイダの複数のクラウドサービスを利用することも含まれます。パブリッククラウドサービスとプライベートクラウドサービス、あるいはいずれかのサービスを複数組み合わせて利用する場合もあります。
  • ハイブリッドクラウド環境は、プライベート・サードパーティ・クラウドおよびオンサイトのプライベートクラウドデータセンターまたはそのいずれかと、1つまたは複数のパブリッククラウドとを組み合わせて利用します。

クラウド環境を上記の視点から定義することで、ユーザーが利用するクラウドスペースの種類によって、クラウドベースのセキュリティは少しずつ異なってくることが理解できます。しかし、その効果は、個人の利用者も組織の利用者も同様に実感しています。

クラウドセキュリティの仕組み

すべてのクラウドセキュリティ対策は、以下のいずれかまたは複数の事項を達成するよう機能します。

  • データが損失した場合のデータ復旧
  • 悪意あるデータ窃盗からストレージとネットワークを保護する
  • データの漏洩につながる人的ミスや不注意を防ぐ
  • データ侵害やシステム侵害の影響を低減する

データセキュリティは、脅威防止の技術的目標に関わる、クラウドセキュリティを構成する要素です。ツールや技術によって、プロバイダや利用者は、機密データの利用と可視性の間にバリアを築くことができます。なかでも、暗号化は最も強力な利用可能なツールの1つです。暗号化は、暗号化キーを持っている者だけが読めるよう、データを変換します。データが損失したり、盗まれたりしても、そのデータは読めない、意味のないものにすぎません。仮想プライベートネットワーク(VPN)といったデータ転送保護も、クラウドネットワークで重視されています。

IDアクセス管理(IAM)は、ユーザーアカウントに付与されたアクセス権限に関連します。ユーザーアカウントの認証と権限付与の管理もここに該当します。アクセス制御は、ユーザー(正規のユーザーも悪意のあるユーザーも)が機密データやシステムにアクセスしたり、侵害したりすることを制限します。パスワード管理や多要素認証をはじめとする方法も、IAMに分類されます。

ガバナンスは、脅威を防止、検出、軽減するための対策です。脅威インテリジェンスといった要素は、中小企業や大規模組織の味方となって、脅威の追跡と優先順位づけに役立ち、必要不可欠なシステムを厳重に守ることにつながります。一方で、利用者の安全な行動の指針とトレーニングを重視すれば、個人のクラウド利用者もメリットを得られます。これらは専ら組織環境で適用されますが、安全な利用と脅威への対応についてのルールは、どのような利用者にとっても有用です。

データ保持(DR)とビジネス継続性(BC)の計画の立案には、データが損失した場合のディザスタリカバリ対策も盛り込まれます。DRとBCの計画の中核を成すのが、バックアップといったデータの冗長性を確保するための方法です。また、連続運用を確保するための技術システムを備えることも役立ちます。バックアップの信頼性テストの枠組みと従業員向けの詳細な復旧指示書は、徹底したBC計画同様に重要です。

法令順守(リーガルコンプライアンス)は、立法機関によって規定されたユーザーのプライバシーの保護を軸としています。各国政府は、ユーザーの個人情報を、営利目的で利用されることから保護することを重要課題として取り組んでいます。したがって、組織は規制に従って、施策に協力する必要があります。そのための方法の1つが、暗号化方式によってデータ内の個人情報を隠すデータマスキングです。

クラウドセキュリティは何が違うのか

従来のITセキュリティは、クラウドベースのコンピューティングへ移行したために、非常に大きな進化を遂げました。クラウドモデルはより便利に利用できる一方、常時接続により、モデルを安全に保つためには、新たに検討しなければならない事柄が出てきました。現代的なサイバーセキュリティソリューションとしてのクラウドセキュリティは、いくつかの点で、旧式のITモデルとは一線を画しています。

データストレージ:最も大きな違いは、旧式のITモデルはオンサイトのデータストレージに大きく依存するという点です。組織は、長年、カスタムの詳細なセキュリティ管理向けに自社ですべてのITフレームワークを構築するのはコストがかかり、柔軟性にも欠けると感じてきました。クラウドベースのフレームワークは、システムの開発・維持費の軽減に役立っていますが、ユーザーがすべてを管理するというわけにはいきません。

拡張スピード:同様に、クラウドセキュリティは、組織のITシステムを拡張する場合に特別な注意が必要です。クラウド中心のインフラやアプリはモジュール性が高く、即座に動かせます。この機能は、組織の変更に合わせてシステムを一様に調整できるようにする一方、セキュリティへの対応能力よりも向上や利便性に対する組織の必要性が勝ってしまった場合は、懸念が生じます。

エンドユーザーシステムのインターフェース:組織や個人の利用者のため、クラウドシステムは、守る必要のある多くのシステムやサービスとやり取りもします。アクセス許可は、エンドユーザー機器のレベルからソフトウェアレベル、ひいてはネットワークレベルで維持する必要があります。また、プロバイダやユーザーは、安全でない設定やシステムへのアクセス行動によって引き起こされる恐れのある脆弱性に注意を払う必要があります。

ネットワーク化された他のデータやシステムへの近接性:クラウドシステムは、クラウドプロバイダとそのすべてのユーザーとを持続的に接続するため、この大規模なネットワークによって、プロバイダ自身すら危険にさらされる恐れがあります。ネットワークの状況においては、たった1台の脆弱な機器や構成要素が利用され、他に感染する可能性があります。クラウドプロバイダは、データストレージを提供しているか、他のサービスを提供しているかに関わりなく、互いにやり取りする多くのエンドユーザーによって脅威にさらされています。自社のシステムではなくエンドユーザーのシステムで純粋に動作するシステムを提供するプロバイダは、ネットワークセキュリティについてより一層の義務を負います。

クラウドセキュリティの問題の解決には、ユーザーとクラウドプロバイダの双方が、サイバーセキュリティにおけるそれぞれの役割を継続して積極的に行う必要があります。それが、以下に示す、ユーザーとプロバイダが互いに取り組まなければならない2方面からのアプローチです。

安全なシステム構成とメンテナンス

行動面、技術面の安全に関するユーザー教育

最終的に、クラウドプロバイダとユーザーは、双方の安全を保てるよう、透明性とアカウンタビリティを確保する必要があります。

クラウドセキュリティのリスク

クラウドコンピューティングにおけるセキュリティ問題とはどのようなものでしょうか。問題が何かもわからずに、どうやって適切な対策を取れるというのでしょうか。つまるところ、脆弱なクラウドセキュリティは、ユーザーやプロバイダをあらゆる種類のサイバーセキュリティ脅威にさらすことになります。よくあるクラウドセキュリティ脅威には、次のようなものがあります。

  • クラウドベースのインフラのリスクには、互換性のない旧式のITフレームワーク、サードパーティのデータストレージサービスの停止があります。
  • ユーザーのアクセス管理の不適切な構成といった人的ミスによる内部脅威
  • ほぼ例外なく、マルウェアフィッシングDDoS攻撃といった悪意のあるハッカーによって引き起こされる外部脅威

クラウドでの最も大きなリスクは、境界がないということです。従来のサイバーセキュリティは境界を守ることに重点を置いていましたが、クラウド環境は高度に接続されていて、それはつまり、安全でないAPI(アプリケーション・プログラミング・インターフェース)やアカウントの乗っ取りによって、大問題が引き起こされるということです。クラウドコンピューティングのセキュリティリスクに向き合うサイバーセキュリティのプロは、データ中心のアプローチへ移行する必要があります。

相互関連性も、ネットワークに問題を引き起こします。悪意のあるハッカーは、不正に入手した、あるいは脆弱性のある認証情報を使ってネットワークを破ります。ひとたび侵入できるようになると、クラウドでほとんど保護されていないインターフェースを容易に拡張し、それらを使ってさまざまなデータベースやノードにあるデータを見つけ出します。ハッカーは、盗んだあらゆるデータをエクスポートして保管する宛先として自らのクラウドサーバーを使うことすらやってのけます。クラウドでセキュリティが必要な理由は、クラウドデータへのアクセスを防止するためだけではありません。

サードパーティのインターネット経由のデータ保管やアクセスにも、それぞれ固有の脅威があります。何らかの理由でこれらのサービスが停止すると、データへのアクセスは失われます。例えば、電話ネットワークが故障すれば、必要な時間にクラウドにアクセスできなくなります。また、停電になれば、データを保存しているデータセンターに影響が及び、データが永久に失われてしまう恐れもあります。

こういった停止による影響は、長期に及ぶ可能性があります。最近発生したAmazonのクラウドデータ設備での停電により、サーバーのハードウェアが損傷し、顧客のデータが一部失われました。これは、自分のデータや使用しているアプリケーションの少なくとも一部をローカルでバックアップしておく必要があることを示す良い例です。

クラウドセキュリティが重要な理由

1990年代には、企業や個人のデータはそれぞれの手元にあり、セキュリティもそれぞれで行っていました。データは、個人であれば自宅のPCの内部ストレージに、勤めていれば企業のサーバーに保存されていたでしょう。

クラウド技術の導入によって、皆、サイバーセキュリティを見直さざるを得なくなっています。自らのデータや使用しているアプリケーションはローカルシステムとリモートシステムの間を揺れ動き、常にインターネットにつながった状態です。スマートフォンでGoogle Docsにアクセスしたり、顧客管理のためにSalesforceソフトウェアを使ったりすれば、そのデータはあらゆるところで保持できます。したがって、そういった情報の保護は、望まないユーザーに自分のネットワークにアクセスされるのを阻止すれば済む問題だった場合に比べ、ずっと難しくなります。クラウドセキュリティでは、これまでのITプラクティスを調整する必要がありますが、このことは、主に次の2つの理由からますます重要になっています。

  1. セキュリティよりも利便性が重視される。クラウドコンピューティングは、職場でも個人利用でも主要手段として飛躍的に増加しています。イノベーションにより、業界のセキュリティ基準の規定よりも迅速に実装できる技術が生み出され、アクセスしやすさのリスクを検討する責任がますます重くユーザーやプロバイダにのしかかっています。
  2. 集中化とマルチテナントストレージ。現在は、あらゆる構成要素(基幹インフラから、Eメールや文書といった少量のデータまで)を毎日24時間インターネットに接続した状態でリモートで特定し、アクセスできるようになっています。少数の主要サービスプロバイダのサーバーで収集されているこれらのデータはすべて極めて危険な状態にあると言えます。脅威をもたらすハッカーは、複数の組織が運用する大規模なデータセンターを標的にし、膨大なデータ漏洩を引き起こす恐れがあります。

残念ながら、悪意のあるハッカーはクラウドベースの標的の価値を認識し、利用しようと以前にもまして探査を進めています。クラウドプロバイダは、セキュリティにおける多くの役割を利用者から引き受けているにもかかわらず、すべてを果たし切れていません。このため、技術に疎いユーザーも、クラウドセキュリティについて自ら学ぶ義務を負わされています。

とはいえ、ユーザーだけがクラウドセキュリティの義務を負うわけではありません。自らのセキュリティ義務の範囲を認識することは、システム全体をより一層安全に保つことに役立ちます。

クラウドセキュリティでデータを保護する方法

クラウドセキュリティにおける懸念 – プライバシー

機密情報が販売されたり、共有されたりすることからエンドユーザーを保護する法律が整備されています。一般データ保護規則(GDPR医療保険の傾向性と責任に関する法律(HIPAA)は、データの保存とアクセスの方法を制限して、プライバシーを保護するそれぞれの役目を果たしています。

GDPR順守については、データマスキングといったアイデンティティ管理の方法が、ユーザーのデータから、識別可能な身元を切り離すのに使われます。HIPAA順守のためには、医療機関などの組織は、利用するプロバイダもデータアクセスを制限する役割を果たしていることを確認する必要があります。

CLOUD法では、クラウドプロバイダに対し、潜在的にユーザーのプライバシーを犠牲にして従うことに対する法的制限が設けられています。米国連邦法では、現在、連邦レベルの法執行機関による、クラウドプロバイダのサーバーにある、求められるデータについての開示要求が認められています。これによって、捜査を実際に行うことが可能になる一方で、プライバシーの権利が回避され、権力の乱用となる可能性がありま

クラウドセキュリティの定義

クラウドを保護する方法

幸い、クラウドでデータを保護するためにできることは数多くあります。よく用いられる方法をいくつか見ていくことにしましょう。

暗号化は、クラウドコンピューティングシステムを保護する最も優れた方法の1つです。暗号化を用いる方法にはいくつかあり、クラウドプロバイダやクラウドセキュリティソリューションプロバイダが提供しているものもあります。

  • クラウド全体での通信暗号化
  • 特に気密性の高いデータの暗号化(アカウントの認証情報など)。
  • クラウドにアップロードされた全データのエンドツーエンド暗号化

クラウドにおいては、データは、あちこち動かす場合、盗み見られるリスクがより高まります。ある保存場所から別の保存場所へ移したり、オンサイトのアプリケーションに転送したりする場合、そのデータは脆弱です。このため、重要なデータには、エンドツーエンド暗号化が最もふさわしいクラウドセキュリティソリューションです。エンドツーエンド暗号化であれば、暗号化キーなしに部外者に通信を盗み見られることはありません。

また、クラウドに保存する前にデータそのものを暗号化したり、サービスの一環としてデータを暗号化したりするクラウドプロバイダを利用することもできます。会社の画像やビデオといった非機密情報の保管のためだけにクラウドを利用している場合には、エンドツーエンド暗号化はやりすぎかもしれません。一方、財務情報や認証情報、企業の機密情報には、この方法が不可欠です。

暗号化を利用している場合、暗号化キーを安全に管理することが非常に重要です。キーのバックアップを取り、それはクラウドに保存しないのが理想です。誰かが暗号化キーにアクセスしようとした場合に、暗号化キーを変更してシステムから締め出せるよう、暗号化キーを定期的に変更するのも良いでしょう。

構成もクラウドセキュリティの強力なプラクティスの1つです。多くのクラウドデータの漏洩は、不適切な構成といった基本的な脆弱性が原因です。これらを防ぐことで、クラウドセキュリティのリスクを大幅に減らすことができます。これだけでは不安な場合は、新たにクラウドセキュリティソリューションのプロバイダを利用することを検討してもいいかもしれません。

次に、役立つ原則を示します。

  1. デフォルト設定を変更せずにそのままにしない。デフォルト設定をそのままにすることは、ハッカーを玄関から招き入れるようなものです。デフォルト設定を変更することで、ハッカーがシステムにアクセスしにくくなります。
  2. クラウドストレージのバケットを開いたままにしない。バケットを開いたままにすると、ストレージバケットのURLを開くだけで、ハッカーは中身を見ることができます。
  3. クラウドプロバイダが、ユーザーが有効にできるセキュリティ管理を提供している場合は、それを利用します。適切なセキュリティオプションを選択しない場合、リスクにさらされる恐れがあります。

基本的なサイバーセキュリティのヒントもクラウド実装に組み込む必要があります。クラウドをすでに利用している場合でも、基本的なサイバーセキュリティ・プラクティスをないがしろにしてはいけません。したがって、オンライン環境をできる限り安全なものにしたいのであれば、以下を検討する必要があります。

  • 強力なパスワードを使用する。文字、数字や特殊文字を組み合わせるなどして、パスワードをより破られにくくします。Sを$マークで置き換えるといったどのわかりやすいものは避けるようにします。意味のない文字列にするのが良いでしょう。
  • パスワードマネージャーを活用する。使用するアプリケーション、データベース、サービスに、記憶する必要なく、すべて異なるパスワードを設定できるようになります。ただし、パスワードマネージャーを強力なプライマリパスワードで保護するのをお忘れなくい。
  • スマートフォンやタブレットなど、クラウドデータへのアクセスに使用するすべての機器を保護します。データを複数の機器で同期している場合、それらのいずれかが綻びとなって、デジタルフットプリント全体がリスクにさらされる恐れがあります。
  • クラウドが機能を停止したり、利用するクラウドプロバイダでデータが損失したりした場合にデータを元通り復元できるよう、定期的にデータをバックアップします。そのバックアップは、自宅のPCか外部のハードドライブに保存するか、2社の異なるクラウドプロバイダが間違いなくインフラを共有していないのであれば、クラウドツークラウドに保存してもいいでしょう。
  • 必要でない限り個人や機器がすべてのデータにアクセスするのを防ぐため、アクセス権限を変更します。例えば、企業は、データベースのアクセス権限設定で変更できます。ホームネットワークを構築しているのであれば、子どもやIoT機器、テレビにはゲストネットワークを使います。すべてにアクセスできる権限は自分だけが持つようにします。
  • ウイルス対策ソフトやマルウェア対策ソフトで保護する。マルウェアがシステムに入り込めば、ハッカーは容易にアカウントにアクセスできます。
  • 公共のWi-Fiに接続してデータにアクセスしない。厳密な認証を行わないWi-Fiは特に注意が必要です。ただし、仮想プライベートネットワーク(VPN)を使えば、クラウドへのゲートウェイを保護できます。

クラウドストレージとファイル共有

クラウドコンピューティングのセキュリティリスクは、企業から個人の消費者まで、あらゆる人々に影響を及ぼす可能性があります。例えば、消費者は、パブリッククラウドを、(DropboxといったSaaSサービスを活用して)ファイルの保存やバックアップに、また、Eメールや会社のアプリケーションといったサービスに、あるいは、納税申告用紙の記入や税務会計にと利用できます。

クラウドベースのサービスを利用しているのであれば、コンサルタントやフリーランスとして仕事をしている場合は特に、クラウドデータを他の人と共有する方法について検討する必要があるかもしれません。Googleドライブでファイルを共有すれば、行った仕事を顧客と簡単に共有できますが、アクセス権限を適切に管理できているか確認する必要があります。やはり、顧客同士が互いの名前や名簿を見たり、互いのファイルを変更したりできないようにするのが良いでしょう。

手近なクラウドストレージサービスの多くはデータを暗号化していません。暗号化によってデータを安全に保ちたいのであれば、データをアップロードする前に自分で暗号化を行える暗号化ソフトウェアを利用する必要があります。アップロードしたら、顧客に暗号化キーを連絡する必要があります。そうしないと、顧客はそのファイルを読めません。

利用しているクラウドプロバイダのセキュリティを確認する

クラウドセキュリティプロバイダを選ぶ場合、セキュリティは考慮すべき重要なポイントの1つです。なぜなら、サイバーセキュリティが自分だけの責任ではなくなるからです。クラウドセキュリティ会社は、安全なクラウド環境構築の一端を担い、データセキュリティの責任を共に負う必要があるのです。

残念ながら、クラウド企業は、自社のネットワークセキュリティについて、綿密な計画を示してはくれないでしょう。それは、銀行が、金庫のダイヤル番号付きで金庫の詳細を教えるも同然だからです。

しかし、いくつかの基本的な質問に適切な回答が得られれば、自らのクラウド資産は安全に保たれていると安心感が高まります。また、クラウドプロバイダが明らかなクラウドセキュリティリスクに適切に対処しているかどうかについてもより理解できるようになります。以下についてクラウドプロバイダに尋ねてみることをおすすめします。

  • セキュリティ監査:「自社のセキュリティについて、定期的に外部監査を実施していますか?」
  • データセグメンテーション:「顧客データは論理的にセグメント化し、分けられていますか?」
  • 暗号化:「利用者のデータは暗号化されていますか? データのどの部分が暗号化されていますか?」
  • 顧客データ保持:「どのような顧客データ保持方針に従っていますか?」
  • ユーザーデータ保持:「御社のクラウドサービスを解約した場合、私のデータは適切に削除されますか?」
  • アクセス管理:「アクセス権をどのように管理していますか?」

また、プロバイダの利用規約(TOS)をしっかり読んでおいた方がいいでしょう。TOSを読まなければ、自分が求め、必要としているものを得られるかどうかを理解することはできません。

プロバイダが利用しているサービスもすべて把握しておきましょう。自分のファイルがDropboxにあるか、iCloud(Appleのストレージクラウド)でバックアップされている場合、それらのファイルは実際はAmazonのサーバーにあるということになります。したがって、直接利用しているサービス同様、AWSについても確認する必要があります。

ハイブリッドクラウドセキュリティソリューション

ハイブリッドクラウドセキュリティサービスは、中小企業や大規模組織の利用者にとって非常に賢い選択です。ハイブリッドセキュリティソリューションは、一般的に、個人で利用するには複雑すぎるため、中小企業や大規模組織での利用が最も実行可能です。ただし、それは、特定のデータをオンサイト管理するクラウドの拡張とアクセス可能性を組み合わせて利用できる組織の場合です。

ハイブリッドセキュリティシステムのセキュリティ上のメリットを次に挙げます。

サービスのセグメンテーションは、企業がデータへのアクセスとデータの保存方法を管理するのに役立ちます。例えば、オンサイトにはより機密性の高いデータを保存し、それ以外のデータやアプリケーションはオフロードします。そして、クラウドに移すというプロセスによって、セキュリティの層を厚くすることができます。また、データを分けることで、組織は、データ規制の順守を維持できる能力を高められます。

冗長化も、ハイブリッドクラウド環境で達成できます。パブリッククラウドサーバーの日々の運用を利用してローカルデータサーバーでシステムをバックアップすることで、組織は、1つのデータセンターがオフラインになった場合やランサムウェアに感染した場合に、運用を継続できます。

中小企業のクラウドセキュリティソリューション

大規模組織はプライベートクラウド(自社ビルやキャンパスを持つようにインターネットも所有する)を求める一方、個人や中小企業はパブリッククラウドサービスで管理する必要があります。これは、サービス付きのオフィスを共有したり、何百もの賃借人がいるマンションに住むようなものです。このため、一番心配なのがセキュリティです。

中小企業がクラウドを利用する場合、クラウドセキュリティは、利用するパブリックプロバイダに大きく依存することになります。

しかし、自らの安全を確保するためにできる対策はいくつかあります。

  • マルチテナント・データセグメンテーション:企業は、クラウドプロバイダの他の利用者がデータにアクセスできないようにする必要があります。セグメント化されたサーバーに保存していようと、慎重に暗号化されていようと、セグメンテーション対策を行う必要があります。
  • ユーザーアクセス管理:アクセス権限を管理することは、ユーザーアクセスを不便なレベルに下げることになります。しかし、制限したり戻したりして適切なバランスを見つけることは、アクセス権限を緩めてネットワークへの侵入を許すよりははるかに安全です。
  • データ法の順守:データの国際法(GDPRなど)準拠を維持することは、重い罰金を科されたり、イメージ悪化を招いたりしないようにするために極めて重要です。データマスキングや機密データの分類は、組織の優先事項です。
  • クラウドシステムの拡張を慎重に行う:クラウドシステムの実装を素早く行ったら、時間を取って、組織のシステムで利便性よりもセキュリティが重視されているかを必ず確認してください。クラウドサービスは、あっという間に規制順守を欠いた状態にまで無秩序に広がる可能性があります。

大規模組織のクラウドセキュリティソリューション

今や、大企業の90%以上がクラウドコンピューティングを利用していることから、クラウドセキュリティは、企業のサイバーセキュリティの不可欠要素です。プライベートクラウドサービスやその他の費用のかかるインフラは、大規模組織にとっては実行可能かもしれません。それでも、やはり、社内のIT部署が先頭に立ってネットワーク全体を維持するようにする必要があります。

大規模組織がクラウドを利用する場合、インフラに投資すれば、クラウドセキュリティはより柔軟に行えるようになります。

以下に、覚えておくべき重要なポイントを挙げます。

  • アカウントとサービスを積極的に管理する:サービスやソフトウェアを使わなくなった場合は、適切に閉鎖します。ハッカーは、パッチが適用されていない脆弱性を突いて、古い休止状態のアカウントからクラウドネットワーク全体に容易にアクセスできます。
  • 多要素認証(MFA):指紋などの成体認証データやパスワード、モバイル機器へ送られてきた個別のコードなどです。手間はかかりますが、最も機密性の高いデータには有用です。
  • ハイブリッドクラウドの費用対効果を評価する:大規模組織の利用においては、膨大な量のデータを扱うため、データのセグメント化がより一層重要です。データが別々に暗号化されていようと、論理的にセグメント化して区別して保管されていようと、自社のデータと顧客データとを明確に分ける必要があります。ハイブリッドクラウドサービスはこれに役立ちます。
  • シャドーITに注意する:承認されていないクラウドサービスをネットワークで使用したり、仕事に使用したりしないよう従業員を教育することは極めて重要です。機密データが安全でないチャネルでやり取りされた場合、組織は悪意のあるハッカーにさらされるだけでなく、法的問題にまで発展することもあり得ます。

したがって、個人、中小企業、大規模組織のユーザーのいずれであっても、ネットワークや機器をできる限り安全に保つようにすることが重要です。その第一歩は、個々のユーザーが基本的なサイバーセキュリティについて十分に理解し、クラウド用に作られた堅牢なセキュリティソリューションを活用して、ネットワークやすべてのデバイスを保護することです。

関連製品:

関連記事:

クラウドセキュリティとは

クラウド・セキュリティとは、クラウド・コンピューティング・システムを保護するためのサイバーセキュリティの一分野で、オンラインベースのインフラ、アプリケーション、およびプラットフォーム全体でデータを非公開かつ安全に保つことが含まれます。
Kaspersky logo

関連記事