働き方改革やDX推進、リモートワークの普及などに伴い、現在では多くの企業がクラウドサービスを利用しています。クラウドサービスは便利な反面、セキュリティリスクを高めることもあるため注意しなくてはなりません。本記事では、クラウドサービスに必要なセキュリティ対策を、実態調査をもとに解説します。
クラウドサービスを利用する際のセキュリティリスクは?
クラウドサービスは便利な反面、不正アクセスや機密情報の持ち出しによる情報漏洩、サイバー攻撃などのセキュリティリスクが発生する懸念があります。
不正アクセスによる情報漏洩
クラウドサービス利用時のセキュリティリスクとして、不正アクセスによる情報漏洩が挙げられます。クラウド上で管理している顧客情報などの機密情報が外部へ流出すると、企業としての社会的信頼が損なわれ、事業の継続すら難しくなるかもしれません。
一例を挙げると、過去には「Microsoft 365」においてアクセス制御の設定不備により、9,000件以上の個人情報が漏洩する事故が発生しています。従業員のアカウント情報が不正アクセスによって窃取され、クラウド上で管理していた顧客の住所や電話番号、金融機関名、口座番号が流出する事態となりました。
2023年の7月には、NHKの放送センターも不正アクセスの被害に遭いました。何者かが業務用サーバーへ不正にアクセスし、2万人以上の個人情報が漏洩したおそれがあると公表しています。
その後ただちにグループ全従業員のアカウント情報の再設定とアクセス制限の強化を行いました。
クラウドストレージ経由の機密情報持ち出し
クラウドストレージで管理している顧客リストなどを、元従業員が持ち出すリスクも考えられます。過去には、元従業員が数千件の顧客リストをクラウドストレージから持ち出したケースがありました。退職した従業員でも顧客管理システムへアクセスできる状態であり、クラウドストレージを介した情報送受への適切な対策を怠ったことが主な原因です。
「株式会社ベネッセ・コーポレーション」も、内部不正に端を発する情報漏洩被害に遭っています。この件では、会員情報の管理を委託していた企業に勤める派遣社員が、売却目的で個人情報を持ち出しました。漏洩した情報の件数は約2,895万件と発表しています。
第三者からのサイバー攻撃
クラウドサービス利用時のセキュリティリスクとして、第三者によるサイバー攻撃も考えられます。ターゲットが運営しているWebサービスやシステムなどへ過度な負荷をかけるDoS攻撃やDDoS攻撃をはじめ、データベースに登録されている情報を詐取する目的で行われるSQLインジェクション、マルウェア攻撃などが代表的です。
サイバー攻撃を受けると、サーバーやシステムが正常に作動しなくなり、通常通りのサービスを提供できなくなる事態に発展するおそれがあります。また、データの流出や破壊、改ざんなどのリスクも考えられます。
ランサムウェアを用いた攻撃にも細心の注意が必要です。ターゲット企業が保有するデータを暗号化し、解除と引き換えに金銭を要求する手口がよく知られています。この攻撃の厄介なところは、金銭を支払っても暗号化されたデータの解除に応じてくれるとは限らない点です。
クラウドサービスに必要なセキュリティ対策
適切な情報セキュリティ対策を行っていないと、情報漏洩やデータの破壊などのリスクが高まります。組織と従業員、その家族を守るためにも、適切なセキュリティ対策が求められます。
クラウドセキュリティガイドラインの確認
まずはクラウドセキュリティガイドラインに目を通してみましょう。試行錯誤しながらセキュリティ対策に取り組むのは非効率です。国やIPA(情報処理推進機構)が公表しているガイドラインには、情報セキュリティ対策に取り組む際の指針や手順、手法などが網羅されています。1から対策に取り組むより、これらのガイドラインを参考にしつつ進めたほうが効率的です。
総務省 クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)
クラウドセキュリティガイドラインとは?基礎知識や改定のポイントについて解説!
通信データの暗号化
クラウドサービスを利用する際には、外部とデータのやり取りを行うため、サイバー攻撃のターゲットになるケースが少なくありません。第三者からの盗聴や覗き見を防ぐには、通信データの暗号化が有効です。
代表的な手法として、SSLを用いた暗号化が挙げられます。SSLは、オンラインでやり取りするデータを暗号化する仕組みです。プライベートクラウド環境でもSSLによる暗号化を行うと、社内不正によるデータの持ち出しリスクも軽減できます。
社外でクラウドサービスを利用する際のルールも設けておきましょう。たとえば、フリーWi-Fiの利用禁止が挙げられます。フリーWi-Fiは便利な反面、通信が暗号化されていないケースが多く、データを傍受されるリスクが高まります。リモートワークやモバイルワークなどを導入している場合には、特に注意が必要です。
定期的な設定状況の見直し
クラウドサービスの設定状況が適切でないと、セキュリティリスクを高める要因になりかねません。そのため、クラウドサービスの設定状況は定期的に見直し、必要に応じて再設定を行いましょう。
「エムオーテックス株式会社」が公開した資料、「クラウドサービスのセキュリティ対策実態調査」を見てみましょう。「クラウドサービスの設定状況を定期的に見直しできているか」との問いに対し、1年に一度実施と回答したのは全体の44%、1~3カ月に一度実施と答えたのは27%にのぼりました。つまり、調査対象企業の71%が、1年に1回以上見直しを実施できていることが分かります。
一方、「クラウドサービスに不安のある設定はあるか」との問いには、約80%の企業が「設定に不安がある」と回答しています。
第三者による診断サービスの活用
第三者による診断サービスを活用することで、セキュリティリスクの引き下げが可能です。診断サービスを利用すると、現状を正確に把握でき、やるべきことも見えてきます。現状における弱点や改善すべきポイントが分からなければ、セキュリティ対策に取り組もうにも、取り組みようがありません。
既出の資料によると、「第三者による診断サービスなどを受けたことがあるか」の問いに対し、「ある」と答えたのは全体の33%程度でした。サービスを利用したきっかけは、「サービス導入時に設定の参考にするため」や「過去に情報漏洩などのリスクが発生したため」などが上位を占めています。
セキュリティ視点で考える、クラウドサービスの選定基準は?
クラウドサービスの選定時には、不正アクセスを防げる機能が実装されているかどうかをチェックしましょう。たとえば、ログの取得やモニタリングが可能かどうかを確認します。
脅威を知らせるアラートや通知機能が実装されているかどうかも確認しましょう。脅威が迫ったとき、管理者へアラートで危険を知らせてくれるのなら、不正アクセスなどの被害を未然に防げます。
ID管理機能の有無も要チェックです。情報漏洩は、外部要因のみによって引き起こされるものではありません。内部の従業員が情報を持ちだすことで発生するケースもあるため、ID管理機能が実装されているかどうかは大事なチェックポイントです。
Microsoft 365の情報漏洩リスクを⾒える化する「LANSCOPE セキュリティオーディター」
前述したクラウドサービス選定の基準を満たすサービスとして、「LANSCOPE セキュリティオーディター」が挙げられます。Microsoft 365の情報漏洩対策に有効なサービスであり、監査ログのレポートやアラート機能によって、情報漏洩のリスクを可視化できます。
管理コンソールに表示される監査ログは見やすく整理され、誰が見ても分かりやすい点が特長です。また、アプリの利用状況や共有リンク数、アラートポリシーなども見やすく可視化でき、差し迫る脅威をリアルタイムでチェックできます。
情報漏洩リスクが高まった際に、管理者だけでなく本人に通知が行われる点も特長です。利用者本人にもリスクが通知されるため、脅威が顕在化する前にスピーディーな対策が可能です。
まとめ
クラウドサービスを安全に利用するには、適切なセキュリティ対策が欠かせません。まずはセキュリティガイドラインに目を通し、参考にしつつ具体的な対策を練りましょう。対策としては、通信データの暗号化や設定状況の見直し、第三者による診断サービスの活用などが有効です。
