2022年12月に、複数の省庁が利用している富士通のクラウドサービスがサイバー攻撃を受けた可能性がある、と報道されたことは記憶に新しい。このときは不正な通信が確認され、外部から通信情報を盗み取られた可能性もあるとの情報だった。しかし、データを暗号化するという対策をとっていたため、盗まれた情報も内容が読み取られず、大きな実害を出さずに済んだ。

またクラウドでは、設定ミスやIDの管理ミス、アプリケーション構築時のミスなどで、情報漏えいの事故も起きている。

クラウドサービスの提供事業者は、それぞれにセキュリティ対策を強固に行っているが、それでもクラウドのエラーやサイバー攻撃によるリスクは起こり得る。いくらクラウドサービス側で対策をしても、利用者側のミスで情報が漏えいしてしまうこともあるのだ。

オンプレミス環境を構築する場合、利用者である企業がセキュリティを含めた全てのリスクに対応しなければならないが、クラウドは提供事業者が高度な対策を講じているため、利用者の負担が大きく削減できる。

クラウドのサービスモデルによって、クラウドサービスの提供事業者側と利用者側の管理範囲が異なってくる。まずはそれについて確認しよう。

SaaSの場合

SaaSは、アプリケーションを含めたサービス提供事業者側が管理するため、利用者側で管理するのはデータとID管理のみとなる。

PaaSの場合

PaaSは、利用者側でアプリケーションの開発を行うため、利用者側がセキュリティ管理を行うのはアプリケーションとその中で利用するデータ、ID管理などとなる。PaaSの利用者は、クラウドサービス事業者が提供しているセキュリティの機能を正しく理解し、アプリケーションを構築する必要がある。

IaaSの場合

IaaSの場合、クラウドサービスの提供事業者が管理するのはネットワークとハードウェア、仮想環境のみとなるため、利用者側でOSを含むソフトウェア全てのセキュリティを管理しなければならない。

クラウドサービスの提供事業者が、ネットワークやハードウェアなどのリスク対策を行ってくれるが、それでもサイバー攻撃などのセキュリティインシデントを100％防ぐことは難しい。そのために、利用者側でも以下の対策をとる必要がある。

ID管理

クラウドサービスへのアクセス権限に関する管理は、利用者側で対策すべきいちばんの重要ポイントだ。IDやパスワードが漏えいすると機密情報の閲覧や盗難につながってしまう。

クラウドサービスのアクセス権は、役職や部署によって付与すべきだ。全社員が同じようにデータにアクセスできるようにすると、それだけリスクは高まる。また、従業員の異動や退社などに関しては、該当の従業員がアクセスできないように迅速な対応をすべきである。

また、アクセス用のIDやパスワードが漏れないように厳重に管理することも必要だ。多要素認証やID管理ツールの導入などを考えると良いだろう。

機密情報の暗号化

個人情報や社外秘などの機密情報のデータは暗号化することが望ましい。言うまでもなく、暗号化・複合化に用いる鍵も厳密に管理する必要がある。前述したような、クラウドへのサイバー攻撃によりデータが盗まれるような事件が起きても、暗号化により内容が漏れることは防げる。

データのバックアップ

クラウドのトラブルはサイバー攻撃だけではない。クラウド側のトラブルによってアクセスが不能になる可能性もある。不測の事態に備えて、大切なデータのバックアップをこまめにとっておくことは欠かせない。別のクラウドサービスや、NASなどのストレージを利用すると良いだろう。

クラウドに限ったことではないが、クラウドを利用する従業員全員がセキュリティに対する意識を高め、知識を持っておくことも大切だ。クラウドサービス提供事業者には、環境の安全性を打ち出している企業が多い。しかし、利用者側の使い方によってはリスクがあることも伝えていきたい。お客様にクラウドサービスを勧める際には、セキュリティサービスも併せて紹介すると良いだろう。