Azureで強化するクラウドサービスセキュリティについて解説します！

近年では、企業・組織によるクラウドサービスの利用が定着してきました。クラウドサービスは便利である一方で、セキュリティ面に不安を感じる企業の情シス担当も多いのではないでしょうか。
クラウドサービスを利用するにあたっては、セキュリティ対策が必須です。本記事では、クラウドサービスにおけるセキュリティ対策の重要性と、マイクロソフトが提供するAzureのセキュリティソリューションについて解説します。

クラウドサービスとは

クラウドサービスとは、仮想化されたコンピュータリソース、アプリケーション、ソフトウェアなどをインターネット経由で利用するサービスの総称です。従来は、物理的なコンピュータを自社やデータセンターに設置して、そのなかにアプリケーションやソフトウェアをインストールして利用する「オンプレミス」の形態が主流でした。
クラウドサービスは、オンプレミスのような初期投資が不要です。また、使い続けるための管理、運用、保守も事業者側にて大部分を行うことから、ユーザー側の負担を軽減できます。費用面においては、利用した分だけ課金される「従量制課金」や、サブスクリプション型の「月額料金」で利用できます。
このように、クラウドサービスは必要な時に必要な分だけ、すぐに利用できるサービスです。現代の俊敏性、迅速性、柔軟性が求められるビジネス環境においては、必要不可欠といえるでしょう。

クラウドの利用形態

クラウドの利用形態は大きく4つの種類に分類されます。それぞれの特徴を解説します。

パブリッククラウド

クラウドサービスが利用者を限定せず、インターネット上に公開され誰でも利用できるクラウド形態です。提供されるコンピュータリソース、アプリケーション、ソフトウェアなどのサービスは複数利用者で共有します。

プライベートクラウド

特定の利用者がクラウド環境を占有して利用する形態です。企業のオフィスやデータセンターなどプライベートな環境で構築されることが多いため、オンプレミス環境に近いシステムです。

ハイブリッドクラウド

パブリッククラウドとプライベートクラウドのメリットを活用し、2つの環境を連携したクラウド環境です。稼働するサービスによって使い分け、オンプレミス環境からクラウド環境への移行手段のステップとして用いられることもあります。

マルチクラウド

クラウドサービスを提供する複数の事業者を、サービスの提供内容や仕様、利用目的や用途によって使い分ける方法です。近年では、事業者間の接続サービスやマルチプラットフォームを横断的に管理できるソフトウェアも増えてきています。

クラウドサービスの種類

ここまでクラウドの利用形態について解説しました。さらにクラウドは、責任分界点の違いによりいくつかのサービス形態に分類されます。代表的なクラウドサービスを３種類紹介します。

IaaS（Infrastructure as a Service）

仮想化されたコンピュータリソース、インフラ環境をインターネット経由で利用するサービス形態です。

PaaS（Platform as a Service）

OSやミドルウェア、データベースが設定されたプラットフォームを事業者側が提供するサービス形態です。

SaaS（Software as a Service）

Microsoft Office 365などのようにインターネット上でアプリケーションを利用できるサービス形態です。

それぞれのクラウドサービスについての責任分界点については、各事業者ほぼ共通の考え方です。マイクロソフトの公式サイトにてわかりやすくまとめられていますので、ぜひご参考ください。

クラウドサービスに潜むセキュリティリスクとは

本章では、クラウドサービスにおけるセキュリティ課題について解説します。

不正アクセス、アカウントの乗っ取り

クラウドサービスはインターネット回線があればどこでも利用可能です。IDはパスワードなどの情報で認証を行いますが、この認証が悪用され不正にデータへアクセスされてしまうおそれがあります。また、本人になりすまして不正にサービスを利用する乗っ取りのリスクもあります。

データの消失

クラウドサービスは事業者側の設備に依存する部分が大きく、実際のデータが保存されるハードディスクなどは事業者側の管理下に置かれています。そのため事業者側の不具合が原因で、データ漏洩やデータ消失が発生する危険性があります。

通信経路上におけるデータ漏洩・盗取

クラウドサービスはデータのやり取りをインターネット回線経由で行います。特にパブリッククラウドは一般利用者に公開されているため、暗号化されていないデータは内容を読み取られるおそれがあります。

従業員のセキュリティリテラシー問題

便利だからといって組織内でのリテラシーを個人任せにしてしまうと、自社でオーソライズされていないクラウドサービスを利用するシャドウITなどが蔓延し、自社のデータが消失・漏洩するリスクが高くなります。

世界的にも関心が高まるクラウドサービスセキュリティ

ここまで解説した通り、クラウドサービスは多くの企業で普及が進んでいますが、利便性が高い反面、セキュリティの課題についても注目を集めています。本章では、クラウドサービスに関するセキュリティ管理策のガイドラインとして、国際的な規格であるISO/IEC 27017を紹介します。

クラウドサービスのセキュリティ管理ガイドライン規格「ISO/IEC 27017」

ISO27017は、2015年に国際標準化機構（International Organization for Standardization）が策定し発行されたクラウドセキュリティに関する国際規格です。クラウドセキュリティの強化が重要課題となるなかで、クラウドサービスのリスク対策に特化して発行されました。
ISO27017認証は最新のクラウドセキュリティにおける国際規格であることから、世界レベルでの高度なセキュリティ対策を証明できます。

ISO/IEC 27017の取得状況

クラウドサービスを提供している企業はISO27017を取得するケースが増えており、マイクロソフト、Google、Amazonなどのグローバル企業はいち早くISO27017を取得しています。
国内でも2022年5月時点で307社の企業が公表しています。今後、さらにクラウドセキュリティへの関心が高まり、ISO27017はスタンダードな規格として確立されていくでしょう。

クラウドセキュリティはAzureがおすすめ

マイクロソフトのクラウドサービス「Azure」は、2016年にISO/IEC 27017認定を取得しました。Azureは規制の厳しいさまざまな業界において、利用者のコンプライアンス要件へ対応できると高い評価を受けています。本章ではAzureのセキュリティ対応について解説します。

マイクロソフトのセキュリティに対するアプローチ

多くの製品やサービス、ソリューションを扱うマイクロソフトは、あらゆる方面からセキュリティ対策が可能です。マイクロソフトはセキュリティの事業分野において、年間1,000億円もの予算を投じています。さらに、1日あたり8兆件ものサイバー攻撃を処理しながら、それらの処理をすべてビッグデータとして収集し、機械学習（AI）に活用しています。2020年だけでも、Microsoft Defenderというエンドポイントソリューションで約60億件のマルウェア脅威をブロックした実績があります。

Azureのセキュリティに対するアプローチ

AzureではIaaS、PaaS、SaaSなどあらゆるレイヤーにおいて、全世界で計3,500名以上のサイバーセキュリティの専門家によりマネジメントされ、多層的なセキュリティ機能を提供しています。クラウドの保護に役立つサイバーセキュリティ関連のインテリジェンスが全世界からリアルタイムで供給されるため、新しい脅威を検出し、迅速な対応が可能です。またAzureのセキュリティ対策はパブリック環境のみならず、オンプレミスも含めたハイブリッド環境に拡張できます。

主なAzureのセキュリティソリューション

ISO/IEC 27017認定を取得し、業界トップクラスのセキュリティアプローチを行っている主なAzureソリューションを紹介します。

記載したクラウドサービスはAzureセキュリティソリューションの一部です。このほかにも、Azureには豊富なセキュリティ対策ソリューションがそろっており、あらゆるサービスに組み込んで活用できます。

まとめ

クラウドサービスを安全に利用するなら、高度なセキュリティ対策が備わっているAzureがおすすめです。国際的な規格を取得し、セキュリティに対する多くの投資と、エキスパートエンジニアによるマネジメント体制を有しています。
またマイクロソフトの多くの製品群がセキュリティの機械学習に活用され、世界中の知見によりAzure環境は保護されています。クラウドサービスを導入するのであれば、ぜひAzureをご検討ください。