利用前に知りたいクラウドサービス固有のセキュリティリスクとは?

平成30年版の情報通信白書によると、クラウドサービスを利用している企業の割合は2016年から大幅に上昇し、クラウドサービスを一部でも利用している企業の割合は56.9%であり、前年の46.9%から大幅に上昇しているそうです。

クラウドサービスを利用する企業のうち、「非常に効果があった」または「ある程度効果があった」として、効果を実感している企業の割合は85.2%であり、多くの企業で効果を実感していると報告されています。

クラウドサービスを利用している理由としては、

  1. ・資産、保守体制を社内に持つ必要がないから(45.2%)
  2. ・どこでもサービスを利用できるから(34.8%)
  3. ・安定運用、可用性が高くなるから(アベイラビリティ)(32.6%)
  4. ・災害時のバックアップとして利用できるから(32.4%)
  5. ・サービスの信頼性が高いから(29.4%)
  6. ・システム容量などの変更が迅速にできるから(27.4%)
  7. ・システムの拡張性が高いから(23.4%)
  8. ・既存コストよりもコストが安いから(21.2%)
  9. ・システムベンダーに提案されたから(14.8%)

一方、クラウドサービスを利用しない理由としては、

  1. ・必要がない(39.5%)
  2. ・情報漏洩などセキュリティに不安がある(38.1%)
  3. ・クラウド導入に伴う既存システムの改修コストが大きい(27.6%)
  4. ・メリットがわからない、判断できない(23.7%)
  5. ・ネットワークの安定性に対して不安がある(16.1%)
  6. ・通信費用がかさむ(11.4%)
  7. ・ニーズに応じたアプリケーションのカスタマイズができない(9.2%)
  8. ・クラウドの導入によって、自社コンプラインスに支障をきたす(4.9%)
  9. ・法制度が整っていない(4.3%)

という調査結果が公表されています。

参考:総務省「平成30年版情報通信白書」

クラウドサービスを利用する理由としては、運用負担の軽減や利便性の向上などがあげられています。クラウドサービスを利用しない理由としては、情報漏洩のセキュリティやネットワークに対する不安の他、判断できないなど、漠然とした不安も多いように見受けられます。

今回は、クラウドサービスを利用する上での具体的なリスクについてご紹介したいと思います。

クラウドサービス利用上のリスク

経済産業省作成「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(2013年版)」では、クラウドサービス利用に関わるリスクを解説しています。下記のイメージ図をご覧いただくと、クラウドサービスのセキュリティが懸念されるポイントをご理解いただけると思います。

クラウドサービス_リスクイメージ

クラウドサービス利用のための情報セキュリティマネジメントガイドライン(2013年版)より

クラウドサービスは、遠隔地にあるクラウドサービス事業者が管理するコンピュータリソースを利用します。そのため、自社のコントロールが及ばないというところに固有のリスクがあります。また、コンピューターリソースを共有することから、仮想化や分散化といった技術に起因するセキュリティリスクがあることがわかります。

クラウドサービスの具体的なセキュリティリスクとは

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(2013年版)」では、クラウドサービスで考慮すべきセキュリティリスクが紹介されています。代表的なものを5つご紹介いたします。

・DoS攻撃

クラウドサービスはインターネット経由で提供されるため、DoS攻撃(ウェブサーバやネットワーク機器に意図的に過剰な負荷をかける事でサービス停止に追い込むサイバー攻撃の一種)を受けると、すべてのサービスが停止する可能性があります。DoS攻撃への対策はクラウドサービス事業者に任せられ運用負荷が下がる反面、事業者に対策を依存することになるため自社でコントロールできないことがリスクになり得ます。

・パスワード・ID管理

クラウドサービスによっては、既存のユーザIDやパスワードを利用せず、新しく用意する必要があります。そのため、ユーザIDやパスワードの管理が煩雑になり、漏洩するリスクも高まります。

・アクセス制御

利用するクラウドサービスによっては、あらかじめ定められた権限が、組織で想定する権限とは異なったり、設定操作が難しい場合があります。そのため、アクセス制御を容易にできるクラウドサービスを利用する必要があります。

・クラウドサービス事業者の事業継続

クラウドサービス事業者が何らかの理由により、事業継続が困難になった場合には、サービスが停止される可能性があります。事業継続性に考慮してクラウドサービス事業者を選定すると共に、万が一クラウドサービス上に保存しているデータが消失してもリカバリーできる準備が求められます。

・データセンターの所在

様々な国や場所にデータセンターが設置される場合、データセンターに従事する従業者の経験やモラルなどによる情報の取り扱いの差が、クラウドサービス利用者の懸念事項としてあげられます。また、データセンター所在地の法規がリスクとなることも懸念事項の一つです。

・暗号化

クラウドサービスの多くはSSL/TSLを利用した暗号化通信を選択することが可能です。しかし、まだ対応していない事業者もあるため注意が必要です。暗号化通信未対応の場合には、機密データがネットワーク上で盗聴される可能性があります。

参考:経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(2013年版)」

クラウドのセキュリティリスクが心配なら「AOSデータルーム」

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(2013年版)」では、クラウドサービスのセキュリティリスクとして、上記の他にも「リカバリー」「メモリ容量」「最大許容時間」などをあげています。

クラウドサービスは、利便性が高く、コスト面でもメリットが多い反面、自社リソースを使う場合と異なった様々なリスクがあります。やはり、重要なのはサービスと事業者の選定です。

そこでおすすめしたいのがクラウドのファイル共有サービス「AOSデータルーム」です。「AOSデータルーム」はこれまで警察機関からの数多くの依頼を受けて証拠データの復旧・調査に関わった実績のあるリーガルテック社が提供しています。

「AOSデータルーム」は、国内最高レベルのデータセンターで管理されているだけでなく、アクセス制御やID管理の機能が充実しています。クラウドサービスを使ってみたいけどセキュリティが不安と考えている方には最適のファイル共有サービスです。

機密データを保管するなら安心のファイル共有サービス「AOSデータルーム」

pen