クラウドサービスやクラウドプラットフォームへの活用が加速しています。一昔前はクラウド移行に際しセキュリティ面での不安を感じる企業や組織も存在しましたが、そのような心配も少なくなり、むしろ多くの企業がセキュリティ強化とシステム環境の利便性向上、コストの圧縮を目指し、クラウド移行を進めています。
しかしながら、クラウドへ移行すればセキュリティ対策がまったく不要というわけではありません。一般的にはクラウド提供事業者が提供する様々なセキュリティオプションが存在し、それを考慮したセキュリティ対策が必要です。また、企業内のネットワーク環境なども今まで通りに考えておく必要もありますし、リモートワーク 環境下での振る舞いなども考慮する必要があるでしょう。そこで本記事では、クラウド移行前に知っておきたいセキュリティ対策の押さえておくべき5つのポイントをご紹介します。
クラウドセキュリティ対策5つのポイント
ポイント1. 通信データの暗号化
クラウドはインターネット回線を介して利用するサービスやリソースです。このため、第三者に通信内容を傍受される可能性があります。HTTP通信を利用するインターネット回線の場合、SSL暗号化通信を利用するのがセキュリティ面での基本です。
クラウドユーザーが注意すべきポイントは、Wi-Fiです。街のフリーで提供される安全性の欠けたWi-Fi環境を利用すると、第三者によってデータ通信が傍受される可能性があります。そうなればクラウドで利用しているID・パスワードが漏えいしてアカウントを不正利用されたり、クラウドに保管されているデータが秘密裏に奪われたりするリスクがあります。
Wi-Fiネットワークを利用する上で最も堅固なのがWPA2です。それ以外の通信方法では重大なセキュリティ脆弱性が報告されているため、今一度自社内のWi-Fi通信規格を確認しましょう。また、社外での利用に関してもしっかりとしたポリシーを定めておくことも重要です。
ポイント2. 多要素認証などのアクセス制御
クラウドへの接続はIDとパスワードによって管理されます。多くのサービスで採用されているこの認証方法は、実はセキュリティ性はさほど高くありません。サービスを利用しているすべてのユーザーが、12桁以上で大小の英数字と記号を含むユニークなパスワードを設定していれば話は別でしょうが、組織の中に安易なパスワードを設定しているユーザーは、必ず存在します。
そこで採用すべきセキュリティ対策が、多要素認証による厳格なアクセス制御です。これはIDとパスワードという単一認証での接続を許さず、管理者が他に提供するもう1つ以上の認証方法をパスしなければサービスに接続できないというセキュリティ対策です。
たとえば、IDとパスワードでサービスへの接続を試みたユーザーがいれば、そのユーザーに紐づかれた電話番号宛てにワンタイムパスワードを発効します。ユーザーはSMSで受信したワンタイムパスワードを入力しなければ、サービスへ接続できないという仕組みです。これならば、万が一IDとパスワードが第三者の手に渡っても不正利用を防ぐことができます。
複数のクラウドサービスを常時利用するような場合は、シングルサインオンによるIDとパスワード管理の一元化が有効です。これは、サービスごとに複雑かつユニークなパスワードを設定しても、各サービスに紐づかれた特定のパスワードを使用すれば、すべてのサービスへの接続を一括で行えるという仕組みのセキュリティ対策です。ユーザーの利便性を高めると同時に、セキュリティ性もアップできます。
ポイント3. アプリ・OSのバージョン管理
クラウドプロバイダーがどんなに堅固なセキュリティ対策を実施していても、クラウド上で管理されているアプリケーションやOSのバージョンが古いままだと、セキュリティ脆弱性を突かれてデータ漏えいなどの事件に発展する可能性があります。
例えば注意したい攻撃の一つに「ゼロデイ攻撃」があります。これは、開発元も気づいていないセキュリティ脆弱性を利用したサイバー攻撃の総称であり、セキュリティ更新プログラムが適用されていない以上、システムは丸裸の状態でオオカミの群れの中に投げ込まれるようなものです。
また、アプリケーションや開発元がセキュリティ脆弱性をカバーするためのセキュリティ更新プログラムを配信しても、ユーザー側が即座に対応しなければ脆弱性が露出したままになり、ゼロデイ攻撃の餌食になります。
このため、クラウドだからといって安心するのではなく、アソフトウェアの管理を徹底して常に最新の状態を保つことも大切です。
ポイント4. 有事に備えたデータバックアップ
クラウドへ移行すれば、システムに蓄積されたデータは自動的にバックアップされてサイバー攻撃等によってデータが保管されてもすぐにリストア(復旧)できると考えてはいないでしょうか?残念ながらそれは期待できません。
数あるクラウドのサービス規約によく目を通してみると、各ユーザーの利用状態を維持するようなバックアップ施策には取り組んでいないことが分かります。参考までに、Microsoftのサービス規約を引用します。
“マイクロソフトは、本サービスの稼動状態を維持するよう取り組んでいますが、すべてのオンライン サービスには中断および停止が時折発生します。マイクロソフトは、結果としてお客様に生じることがある中断または損失について一切責任を負いません。停止が発生した場合、お客様は、保存しているお客様のコンテンツまたは本データの取得ができなくなることがあります。本サービスに保存しているお客様のコンテンツおよび本データは、定期的にバックアップするか、第三者のアプリおよびサービスを使用して保存することをお勧めします。”
このような規約は、ほとんどのクラウド事業者でほぼ同じです。
このため、クラウドを利用するユーザーはクラウドプロバイダーが提供しているバックアップオプションを利用するか、サードパーティ製のバックアップソリューションを利用するなどして、クラウドに保存されているデータを定期的にバックアップする必要があります。
ポイント5. 適切なクラウドプロバイダーの選定
サービスを提供するクラウドプロバイダーには、大手ソフトウェアベンダーから中小企業まで多種多様に存在します。
その中で大切なことは、より高いセキュリティ性を確保しているクラウドプロバイダーを選定することです。
単純なサービスの内容やコストだけでなく、クラウドプロバイダーのセキュリティ体制やサポート体制などにも目を向けながら、自社にとって適切なプロバイダーを選定しましょう。
ポイントを押さえたセキュリティ対策を!
いかがでしょうか?
Microsoft Azureでは、物理データセンターやインフラストラクチャから Azure での運用に至るまで、多層構造のセキュリティを提供しています。Azure のデータ センターでグローバルに提供される最新鋭のセキュリティを利用することが可能です。Azure のクラウドはカスタマイズされたハードウェアを使って構築されており、ハードウェア コンポーネントとファームウェア コンポーネントにセキュリティ コントロールが統合されているほか、DDoS などの脅威からの保護にも対応しています。全世界で計 3,500 名以上のサイバーセキュリティの専門家から成るチームが、Azure に置かれたお客様のビジネス資産とデータを守っています。
今回は、クラウドを利用するにあたって押さえるべきセキュリティ対策ポイントの一部をご紹介しました。しっかりと押さえた上でクラウドを利用することがとても大切です。クラウドへ移行する前に一度立ち止まり、堅固なセキュリティ対策をご検討ください。