クラウドサービスのセキュリティは本当に安全?企業で行うべき対策とは

このエントリーをはてなブックマークに追加
pic_post117_main

新型コロナウイルス対策として「テレワーク」に踏み切る企業の間で、クラウドサービスの利用が加速しています。しかし一方で、クラウドサービスの大規模障害や、その復旧過程における情報漏えいの事例なども報告されており、大事な企業データを預けてよいのかと戸惑う声も少なくありません。

クラウドサービスは「会社の存続」や「従業員の命を守る」BCP対策としても有効ですが、はたして企業にとって命綱となるデータを任せきりにして良いものなのでしょうか?

今回は、クラウドサービスの安全性について、利用するうえで注意しておきたいセキュリティポイントをご紹介します。

奉行クラウドで実践!経理・総務部門向け在宅テレワーク

クラウドサービスのセキュリティは、提供者と利用者が“共同で守る”もの

低コストで導入でき「いつでも・どこでも利用できる」など、クラウドサービスがビジネスに与えるメリットは大きなものです。しかし、売上データや従業員の個人情報など、企業が取り扱うデータは重要機密情報ばかりです。いくら利便性が良いからといっても、経営層や担当者としては、導入に当たってセキュリティリスクを考えずにはいられないでしょう。

自社内でサーバを管理・運用するということは、「社内の主体的運営で高レベルのセキュリティを保持することができる」ことになります。実際、大手企業や金融機関といった、高いセキュリティ基準を要する企業は高レベルのセキュリティを維持することが求められます。
しかし、反面、そうした高いセキュリティを構築・維持するには、膨大な時間や労力、専門スキル、費用などが必要になります。「全ての企業にとってセキュリティは命題」とはいえ、中小企業では中々セキュリティ対策にコストを割く余裕はないのが現実です。
一方、クラウドサービスは、提供するベンダー各社が一定水準以上のセキュリティを保証しています。
ベンダー各社では、年々高度化するサイバー攻撃に対応するべくセキュリティ対策に毎年巨額の投資を行っており、クラウドサービスの安全性は益々高まっています。
自社サーバで高度なセキュリティを担保することが難しいからこそ、徹底したセキュリティ対策を施されているクラウドサービスを利用するほうが「安全なデータ管理・運用」が実現するとも言えるのです。

ただし、ベンダーが提供しているセキュリティ対策だけでは「安全」と言い切ることはできません。それは、利用者にも利用する上で注意しておきたいポイントがあるからです。例えば、クラウドサービスにおいて、「ログイン認証を強化する」「データ誤送信がないよう注意する」「データを外部へ持ち出さない」などコンテンツに対するセキュリティは、利用者側の責任になります。
クラウドサービスのセキュリティ機能を正しく安全に運用するためにも、自社の責任を認識し、ベンダーが提供するセキュリティ対策を理解して導入・利用をしなければなりません。

クラウドサービスを選ぶ際にチェックしておきたい
5つのセキュリティ・ポイント

セキュリティとひと口に言っても、その技術にはさまざまなものがあります。どのようなセキュリティ対策を取っているかも、ベンダーによって異なりますので、どのようにデータを取り扱っているか確認しておくことが重要です。
クラウドサービスを選ぶ際には、以下のような5つのポイントでセキュリティ体制をチェックしておきましょう。

①ベンダーの信頼性を確認する

特にバックオフィス業務で扱う情報は、売上データや経営情報の他、従業員の個人情報など重要な機密情報が多くなります。そのため、できるだけ「長期間利用できて、セキュリティ対策を常に改善しているサービス」が求められます。ベンダーが公表している財務情報や、情報セキュリティ方針、関連した認証・認定制度の取得状況、個人情報保護法といった関連法を遵守しているかなどは必ずチェックしておきましょう。

例えば、OBCの情報セキュリティ方針はホームページ内で公開されています。また、米国公認会計士協会(AICPA)で定める基準に基づく、ある一定期間の受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持やプライバシーの内部統制といった評価の保証報告書である『サービス・オーガニゼーション・コントロール2(SOC2)Type2報告書』を取得しており、ニュースリリースなどを通してご紹介しています。
毎日の業務を支える業務クラウドを提供するベンダーとして、ハイレベルで止まらない仕組みがどのように整備されているか、こうした発信も参考にされるとよいでしょう。

②クラウドサービスの安全・信頼性を確認する

SaaSはアプリケーションまでベンダーが提供するといっても、そのセキュリティ対応力は各社で異なります。一般的なサービスでは、下図のようにアプリケーションの提供元となるベンダーが階層ごとに利用するクラウド環境を選定しているため、セキュリティ対応はベンダーが個別に行っているケースも多く見られます。こうした場合、どこまで高いセキュリティ技術力を有しているか、継続性や将来性も含め利用者側でベンダーを見極める必要があります。

ベンダーが提供しているクラウドサービスごとに公表されている「サービスの稼働率や障害発生頻度、障害児の回復時間などのサービスの品質保証」はしっかり確認しておきましょう。
奉行クラウドの場合、世界140か国で導入され国際的コンプライアンスに準拠するMicrosoft Azureを採用し、アプリケーションもすべてマイクロソフトテクノロージーで開発しています。世界トップレベルのセキュリティに守られているため、安心・安全が確約されていると言えるでしょう。また、全ての階層で整合性を取りながら統合的に対応することができるというのも、市場では類を見ない構成となっています。

③付帯するセキュリティ対策を確認する

個別のセキュリティ対策がどのように行われるかの確認も、おろそかにはできません。コンピュータウイルスなどによるサイバー攻撃に対して、通信の暗号化やウイルス対策、ファイアウォールに代表されるウイルス侵入検知、セキュリティパッチの適用や利用者サポートなど、具体的な対策が公開されているか確認しましょう。
例えば奉行クラウドでは、クラウドへの通信やデータセンター間の通信など全ての通信はSSLで保護しています。その経路上にはファイアウォールを、webアプリケーション固有リスクへの対応にはWAF(Web Application Firewall)を設置するなど、徹底した対策を行っています。24時間365日の運用監視や、定期的な脆弱診断なども随時実施しており、パスワードに関しては最小文字数、有効期限の設定といったパスワードポリシーを設定できるOBCiDという独自の認証の安全性を高めています。複数の奉行クラウド製品、他システムとのシングルサインオンも可能で、利用企業の利便性とセキュリティ強化の両立を追求しています。
このようなセキュリティ対策の情報は、サービス提供者やベンダーのホームページやパンフレット等でも公開されているので、しっかり確認しておくことが重要です。

④利用者へのサポート体制を確認する

サービスの使い方や分からないことがあった際にどのような支援(ヘルプデスクやFAQなど)が提供されているか、連絡方法やサポート料金なども含めて確認しておきましょう。
奉行クラウドなら、オンラインでタイムリーに疑問やご相談に応えられる体制を整えています。マイクロソフト製品に対する知識と技能保持の証明であるMicrosoft認定資格(MCP)を取得したエキスパートが対応するので、様々な問題や疑問に的確に応えます。さらに、クラウドの概念やAzureの価格やサポート、サービスに精通し、クラウドセキュリティ、プライバシー、コンプライアンス、信頼の基礎についての理解を証明する認定資格(Microsoft Certified Azure Fundamentals)を有する専門スタッフも在籍しているので、高度な問題にもタイムリーに対応が可能です。
連絡方法も、お客様と同じ画面を見ながら説明を行えるリモートサポートの他、電話・Fax・Webのお問い合わせフォームなど、お客様が連絡しやすい方法でご連絡いただけます。

⑤データ保存先の所在を確認する

データの保存先となるデータセンターの確認も忘れてはなりません。
データセンターは、クラウドサービスごとにさまざまな国や地域に設置されており、国ごとにネットワーク接続性は異なり、サービスの質に影響する可能性があります。また、データセンターに従事する従業員の経験やモラルによる情報の取り扱いの差が、リスクの一つとなる場合もあります。適用される法律もデータセンターを設置している国のものを使用することになるため、トラブルが発生したときにどの国の法律が適用されるのか、個人情報保護に関わる法律や規制を確認しておく必要があります。
クラウドサービスを利用する際は、データがどの国のどの地域に設置されたサーバに保存されているのか、またその国の法律はどうなっているのかチェックしておきましょう。
例えば奉行クラウドが採用している「Microsoft Azure」なら、国内に2カ所のデータセンターを有し、お客様からお預かりするデータは全て国内でのみ保存しています。そのため、当然日本国法に準拠したサービスをお届けしています。また保存されたデータは、自動的に3重化され、さらに国内のデータセンターにバックアップされるため、想定外の災害にも対処できます。

pic_post117_detail03

ベンダーとの間に情報セキュリティの齟齬があると、不正データ取得が要因のウイルス感染、アクセス権の設定不能、ライフサイクル管理困難といった弊害が起こります。上記の5つのポイントを参考に、セキュリティポリシーや実際の体制についても確認しておきましょう。

クラウドサービスを利用するなら自社でも取り組みたい
6つの社内セキュリティ・ポイント

クラウドサービスを利用するにあたり、セキュリティはベンダーが提供する対策だけでなく、利用者である企業が利用する上での責任を把握し、自社でしかできない対策を的確に実行することも重要です。
例えば、先に挙げたSaaS型であれば、末端のパソコン操作上で起こる問題は利用者の管理範囲内となります。クラウドサービスのセキュリティ対策だけを頼りしていると、思わぬところでセキュリティの「穴」が浮き彫りになる可能性もあります。自社の責任範囲をしっかり認識し、「できる対策」にも取り組んでいきましょう。

企業が自社内で行うセキュリティ対策には、以下のようなものがあります。

A)取り扱う情報の重要度を確認する

クラウドサービスを利用する前に、保存する情報が「どのくらい重要なものか」をしっかり認識することが大切です。
「何らかの理由で漏えい・改ざん・消失したら、どのような影響が出るのか」「利用しているサービスが停止したら、業務にどんな支障が出るか」を知ることで、万が一トラブルが起こった場合の対応、賠償額や費用面での負担を想定することができます。また、重要度合いによってクラウドサービスに求めるセキュリティレベルも変わってくるでしょう。
安易に「サーバが自社内からクラウドになるだけ」と思わず、預けるデータの生じるリスクをしっかり検討しておきましょう。

B)自社のセキュリティルールとクラウドサービスが矛盾しないようにする

一部の企業には、マイナンバーなど重要な情報を社外に保存しない、というルールを敷いているケースもあります。こうした規則があると、マイナンバーを利用する業務をクラウドサービスに委託する場合、自社セキュリティルールとクラウドサービスとの間に不一致が起こります。
自社内の情報管理ルールと矛盾が起こらないよう、適切なクラウドサービスを利用したり、場合によっては暗号化の条件など自社のセキュリティルールを見直したりすることも必要です。

C)管理担当者を決める

自社内のセキュリティ対策は、組織的な取り組みも必要です。具体的な社内セキュリティ方針の作成から周知、推進を徹底させるためにも、社内体制の整備は必要です。
クラウドサービスを利用する場合は、データ管理上の大半をベンダーのセキュリティ対応に依存することになりますので、クラウドサービスの技術的側面を理解した上で、業務に適した運用や設定、操作、ヘルプデスクを行うことができる管理担当者を社内に確保しておきましょう。

D)パスワード・ID管理を徹底する

なりすましや不正ログインはセキュリティ上大きな問題となりやすいため、パスワードやIDの管理を適切に行わなければなりません。
クラウドサービスでは、パスワードやIDの管理方法もベンダーによって様々です。なりすましや不正ログインを防ぐためにも、パスワードやIDは共有化せず、破られにくい強固なパスワードを使用するようにしましょう。また「2段階認証を使用する」などのサービスがある場合は、それを活用するなどして認証機能を適切に設定・管理しましょう。

E)利用者の範囲を決める(アクセス制限)

情報の重要度によっては、「従業員の誰でも操作できる」状態は望ましくない可能性もあります。クラウドサービスの利用にあたって、どの人に・どのような権限を与えるかもあらかじめ決めて適切に管理しましょう。
クラウドサービスによっては、あらかじめ設定できる権限が組織で必要なものと異なるケースもあります。設定自体が困難になる可能性もあるため、選んだクラウドサービスが自社で設定したい制限範囲に対応可能かもチェックしておくと良いでしょう。

F)利用端末における操作の制限や盗難防止策をとる

クラウドサービスは、ブラウザやアプリからログインすれば簡単に利用できるので、端末自体のセキュリティ対策も重要です。
例えば、パソコン作業中に離席した場合、パスワードなしでログインできる設定にしていたり、常時ログインした状態にしていたりすると不正操作のリスクが高まります。その他、ノートパソコンやタブレット端末は、持ち運べる一方で盗難、紛失の危険性がつきまといます。こうした利用端末の不始末からも情報が漏えいすることは大いに考えられます。
「使用を終えたら所定の場所で施錠管理する」「パスコードロックをする」などのルールを取り決めて対策しましょう。

おわりに

サイバー攻撃に対するセキュリティ対策は、ベンダー各社でつねに改善・強化されているため、クラウドサービスそのものは今や「安全」と言ってよいでしょう。
しかし、全てをベンダーに任せれば安心・・・というものでもありません。「自社に適したセキュリティの対策と体制を整えたクラウドサービスを選ぶ」ことと「自社でも対策を講じる」ことによって、初めて頑強なセキュリティとなり得ます。
セキュリティ対策の目的は、自社の重要なデータを守ることです。まずは、自社のセキュリティ要件を満たすクラウドサービスかどうかをしっかり見極めましょう。そして、自社の責任範囲をしっかりと認識して、上手にクラウドサービスを活用してください。

関連リンク

こちらの記事もおすすめ

新規CTA