サイト内の現在位置

クラウドセキュリティとは?
考えられるリスクと対策方法、選び方を解説!

クラウドセキュリティとは?考えられるリスクと対策方法、選び方を解説!

クラウドセキュリティは、クラウド環境に特有のリスクに対するセキュリティ対策のこと。クラウドの利用が進むなか、クラウドセキュリティは企業に求められる新しいセキュリティ対策の考え方・施策として、より重要になっています。ここでは、クラウドセキュリティの概要、クラウド環境におけるセキュリティリスク、具体的な対策、オンプレミス環境との比較、クラウドサービスに特化したセキュリティ基準などを紹介します。

クラウドセキュリティとは何か

「クラウドセキュリティ」は、まだあまり聞き慣れない単語かもしれません。インターネットを介したクラウド環境の利用が進むなか、従来とは異なるクラウド環境特有のリスクに対するセキュリティの必要性、具体的なセキュリティ対策を表す言葉です。クラウドが登場した当初は「クラウドはセキュリティが不安」などという声もありましたが、ネットワーク技術の進展はもちろん、ワークスタイルの多様化、リモートワークの普及などで、クラウドの利用は加速しています。クラウド環境の積極的な活用はビジネスの競争力を高めること、さらには従業員に快適で、フレキシブルな仕事環境を提供するために不可欠となっています。企業には、クラウドセキュリティを十分に理解し、適切な対策を行っていくことが求められています。

クラウドセキュリティの重要性

クラウドセキュリティの重要性は、クラウドの利用が進み、その利用形態が多様化するにつれて、ますます重要になっています。インターネットを介して、企業のICTシステムに必要なコンピュータリソースを提供するクラウドは、自社でハードウェアやソフトウェアなどのリソースを保有する手間やコストがかからず、必要なときにすぐに導入でき、社内で運用や保守を行わずに済み、システム担当者の負担を減らすことができます。クラウドセキュリティはインターネット接続環境さえあれば、どこからでも利用でき、リソースの追加・拡張が容易などの理由から、利用が進んでいます。当初はWebサーバなどの利用からスタートしましたが、今では金融機関が勘定系システムをクラウドで構築したり、行政もクラウドでのシステム構築を進めています。クラウドの活用が進むとともに、クラウドセキュリティの重要性は大きくなっています。

またクラウド環境の使い方も多様化しています。オフィスからクラウドに接続するだけでなく、営業先や出張先はもちろん、リモートワークの自宅から日常的に社内システムにアクセスするようになってきています。従来は、オフィスからクラウドにアクセスする際のセキュリティに配慮していればよかったのですが、現状では例えば、リモートワークの社員が自宅からクラウドにある社内システムにアクセスする際のセキュリティにも配慮しなければなりません。
働き方の多様化が進むにつれて、クラウドセキュリティの範囲は広がっています。

クラウドセキュリティのメリット

クラウドセキュリティは、クラウド環境特有のリスクに対してセキュリティ対策を行うことですが、それはつまり、セキュリティ対策をクラウドサービスを利用して行うことともいえます。例えば、自社でITシステムを保有し、運用するオンプレミス環境では、社員からのリモートアクセスに対応するには、ネットワーク機器の追加やネットワーク回線の増加が必要になるうえ、セキュリティ対策の強化も必須でした。
しかし、クラウド環境であれば、それらはクラウド事業者がサービスとして揃えており、すぐに利用可能。利用が増えた場合にも、すぐに対応可能です。

クラウドセキュリティのデメリット

一方、クラウドセキュリティのデメリットはクラウド環境も、クラウドを使ったセキュリティ対策も完全にクラウド事業者に依存してしまうことです。万一、クラウド事業者にトラブルや障害が発生した際には、クラウド環境もセキュリティ対策も機能しなくなります。
また当然ですが、インターネットに依存することもクラウドのデメリットとなります。特に社員がリモートワークで自宅からアクセスする場合、インターネット接続は社員が用意したものを利用するケースが多く、帯域が十分ではなかったり、接続が不安定になるケースもあります。

クラウド環境におけるセキュリティリスク

クラウド環境におけるセキュリティリスク

クラウド環境におけるセキュリティリスクには、どのようなものが考えられるでしょうか。
クラウド環境は、インターネットを介して、ITリソースを利用します。インターネットは不特定多数が利用する公衆網であり、さまざまなリスクが存在しています。ここでは、クラウド環境における代表的なセキュリティリスクとして、不正アクセス、情報漏えい、サイバー攻撃、データ消失を取り上げます。

リスク1.不正アクセス

不正アクセスとは、正規のユーザではない(悪意を持った)第三者がシステムへの侵入を試みて、システムにアクセスすることをいいます。クラウド環境におけるセキュリティリスクの大部分は、不正アクセスと言っても過言ではありません。第三者の不正アクセスの目的はさまざまです。単に愉快犯的にITシステムへの侵入を試みて、社内のデータなどを盗み見る者から、より重要な情報・機密情報などの入手を狙ってマルウェアを仕込む者、サイバー攻撃の踏み台として利用するためにシステムへの侵入を試みる者もいます。
従来、社内でITシステムを運用している際には、社内システムが外部のネットワーク環境と接している部分を厳重に管理することがセキュリティ対策のポイントでしたが、クラウド環境ではアクセス手段がより多様化し、守るべきポイントも多様化しています。

リスク2.情報漏えい

情報漏えいは、不正アクセスなどによって発生するセキュリティリスクのうち、最もわかりやすいものといえるでしょう。クラウド環境にある社内システムにアクセスする際は、ほとんどの場合、ID、パスワードを使ってアクセスすることになります。このID・パスワードが外部に漏れてしまった場合、例えば、カフェなどでリモートワークをした際に盗み見られてしまった場合、第三者に簡単にシステムに侵入されてしまうことになります。機密情報や個人情報の漏えいは、顧客などに直接的な被害を与えてしまうことはもちろん、損害賠償として多額の賠償金を支払うことになりかねません。また取引先や外注先に損害を与えてしまうことは、会社の信頼性や評判を大きく傷つけることにもつながります。クラウドというインターネットを介して、アクセスできる環境にデータを置いていることを意識し、ID・パスワードは厳重に管理することが大切になります。

リスク3.サイバー攻撃

インターネットに接続されているサーバには、サイバー攻撃を受けるリスクがあります。クラウド環境に置かれた社内システムは一般に公開されているわけではありませんが、一般向けに公開しているWebサーバやクラウド事業者自体がサイバー攻撃を受けてしまうと、業務で使用するシステムにアクセスできない状態になってしまいます。
サイバー攻撃にはさまざまな種類がありますが、例えば、DDoS攻撃は、ターゲットとなるサーバに対して、複数のコンピュータから大量のデータを送信して、サーバをダウンさせる攻撃です。DDoS攻撃自体は、システムへの侵入を試みる攻撃ではありませんが、サーバやネットワークがダウンし、正常に稼働しなくなっているところを狙って、不正アクセスを行うケースもあります。また不正アクセスによって、DDoS攻撃にサーバが利用されてしまうこともあります。その場合は、被害者であると同時に、サイバー攻撃の加害者になってしまいます。

リスク4.データ消失

クラウド環境は、従来のITシステムと比べると、使い勝手が良く、情報やデータの共有などが行いやすいというメリットがあります。その一方で、簡単に、気軽に利用できるからこそ、ユーザのエラーを誘発しやすくなっているともいえます。「クラウドで共有していたデータを誤って消去してしまった」「どこかに移動させてしまい、場所がわからなくなった」などは、比較的よく聞くトラブルです。特にクラウドへの移行直後は、ユーザが新しい環境になれていないこともあり、注意が必要です。
またクラウド事業者のサーバに社内システムやデータを預けることになるので、事業者の信頼性はきわめて重要になります。事業者の作業の不手際などでデータが失われるといったことがないよう、クラウド事業者のバックグラウンドや経験、スキルをはじめ、万一の際のデータのバックアップ体制を確認しておくようにしましょう。

クラウドサービスの利用によるセキュリティ対策

クラウドサービスは、従来、社内でハードウェアやソフトウェアを保有し、構築、運用してきた基幹システムや情報システムなどを利用する場合と異なり、インターネットを介して利用するという特徴に応じたセキュリティ対策が必要になります。
まず、一番に意識すべき点は、クラウド事業者がすでに準備しているサーバを利用するということ。サーバの運用やデータの保管は、完全にクラウド事業者に依存することになります。クラウド環境を実際に利用する際には意識することはなくても、クラウド事業者と契約し、クラウドサービスを利用する前には、「サーバはどのような場所に置かれているのか」「サーバルームのセキュリティ対策はどうなっているのか」「データのバックアップはどのように行われているのか」などを確認することが不可欠です。

クラウドサービスの利用は、自社でITシステムの運用や保守を行う必要がなくなり、コスト面や運用負荷の面で大きなメリットがありますが、事前にクラウド事業者の信頼性、運用スキルなどを十分に精査することが必要です。
クラウドサービス事業者が行うべき主なセキュリティ対策には、次のようなものがあります。それぞれの項目について、複数のクラウドサービス事業者を比較・検討するとよいでしょう。

クラウドサービス事業者が行うべき主なセキュリティ対策
・データセンターの物理的なセキュリティ対策(災害対策や侵入対策など)
・データのバックアップ体制(手段や頻度)
・ハードウェアの障害対策
・仮想サーバの脆弱性対策
・不正アクセス対策
・アクセスログの管理
・通信の暗号化の有無

また、クラウドサービス事業者の精査とともに、利用する社員の情報セキュリティ教育も不可欠となります。

クラウドセキュリティガイドラインによるクラウドセキュリティのリスクと対策

「クラウドセキュリティガイドライン」は、経済産業省が2011年4月に公開した「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」の通称です。
ガイドラインでは、国際規格「ISO/IEC 27002」(情報セキュリティマネジメントの実施においてのベストプラクティス)をもとに、クラウドサービスを利用するユーザ、そしてクラウドサービスを提供する事業者の双方にとって、安心・安全な情報セキュリティを実現するために必要なことが、双方の視点からまとめられています。

2014年3月には、クラウドサービスの普及と多様化、それに伴う情報セキュリティリスクの増大・多様化に合わせて内容の追加・改訂が行われました。
クラウドサービスにおける情報セキュリティは、クラウド事業者のみ、ユーザのみの取り組みや努力だけでは実現できません。双方が高いセキュリティ意識を保ち、日々対策を実施していくことが重要です。
「クラウドセキュリティガイドライン」の中で「クラウドサービスのリスクと対策」として、次の8つの項目があげられています。

・インフラ
・仮想化基盤
・サービス基盤
・統合管理環境
・データ管理
・データ分類
・ID管理
・人員

それぞれの概要を見ていきましょう。

1.インフラ

クラウドサービスの利用にあたっては、まずクラウド事業者のインフラについてのリスクを精査することが第一となります。この場合、インフラとはネットワーク、ネットワーク機器、データセンタ施設、そしてデータセンタの人員もインフラといえます。ガイドラインにあげられている具体的なリスクと、対策は次のとおりです。

[セキュリティリスク:対策]
通信の傍受:通信の暗号化
中間者攻撃やなりすまし:証明書などを活用した認証
内部ネットワーク管理の不備:ネットワーク機器の物理的な保護、ネットワークの構成管理・容量管理
VLAN上のトラブル:ネットワーク機器の構成管理・キャパシティ管理
データセンターへの不正な入退館:建物・敷地への入退室管理
機器への直接的な攻撃:重要な機器に対する多層防御
意図しない操作ミス:手順書の作成、運用者の訓練
内部関係者による意図的な攻撃:入室や機器へのアクセスの認可レベルの明確化
電源喪失によるサービス停止:バックアップ電源の確保と定期的なテスト

2.仮想化基盤

クラウドサービスは、一般的なデータセンターとは異なり、コンピュータリソースが仮想化して提供されます。仮想化基盤のセキュリティリスクは、クラウドサービス特有の問題。比較的新しい技術のため、仮想化基盤の事故に備えた対応の不備が課題となります。

[セキュリティリスク:対策]
事故に備えた対応の不備:インスタンスのバックアップ、システム構成のテンプレート作成、バックアップデータのリストア体制

3.サービス基盤

サービス基盤に関するセキュリティリスクは、単一障害点となるサービス(ID管理サービス、ストレージサービスなど)に関する脅威と、共有サービスに関する脅威があります。共有サービスに関する脅威とは、同じ物理サーバを共有している利用者への攻撃、ストレージサービスへの攻撃などです。決済サービスも共有サービスにあたります。また、他社サービスと連携させたサービスを利用する際には、他社サービスへの依存も検討する必要があります。

[セキュリティリスク:対策]
単一障害点となるサービスに関する脅威:単一障害点の明確化、サービスの冗長化
共有サービスに関する脅威:リージョンの確認、共有サービスの理解・対応

4.統合管理環境

クラウドサービスを利用する際には、統合管理環境、つまりはコントロールパネルを使ってさまざまな機能を利用したり、処理を実施します。コントロールパネルが攻撃されると、サービスをすべて止められてしまう可能性があります。監視環境にも同じようなことが当てはまり、監視サービスへの攻撃やシステムログの改ざんなどの脅威があります。

[セキュリティリスク:対策]
統合管理環境に関する脅威:適切なアクセス管理
監視環境に関する脅威:IDS(不正侵入検知システム)などホストレベルでの監視

5.データ管理

クラウドサービスでは、多くのユーザがデータを共有できるようになり、従来よりも使いやすくなる反面、データ管理が不明確になることがあります。さらに不要なデータをクラウドに保存したり、データを不正にダウンロードするといったガバナンスの喪失が発生します。またクラウドサービスはデータを一元化することが可能ですが、ウイルス感染などをした場合の被害も大きくなる可能性があります。

[セキュリティリスク:対策]
データ管理におけるガバナンスの喪失:情報資産の分類方針の明確化、アクセス権の設定
不正なデータの取得によるウイルス感染:ウイルススキャン

6.データ分類

新たにクラウドサービスを利用した場合、従来のデータ分類方針とクラウドサービスのアクセス権限の設定が一致しないこともあります。その場合は適切なルールを作成し直さなければなりません。データを適切に分類できないために適切なアクセス権を設定できないリスクがあります。また適切なアクセス権が設定できていないことで、データの作成、保管、利用、共有、廃棄といったライフサイクル管理ができなくなるリスクもあり、データの漏えいや流出を招く可能性があります。

[セキュリティリスク:対策]
適切なアクセス権の設定不能:データの利用に関するアクセス権を工夫
データ管理におけるライフサイクル管理の欠如:手順の明確化
データ漏えい・流出:適切なアクセス管理

7.ID管理

クラウドサービスでは、ユーザのアクセス権に基づいてデータ管理をおこなっているため、ID管理がより重要になります。さまざまなデータを結びつけるキーにもなります。またクラウドサービスの1形態であるSaaSなどでは、他のサービス(SNSなど)のIDを使ってログインするIDフェデレーションが可能なものもあります。ただし、ID管理のもととなるサービスにトラブルが発生した場合、IDフェデレーションを利用していたサービスにアクセスできなくなったり、万一、IDやパスワードが漏えいした場合、被害が拡大してしまうので利用する場合は注意が必要です。

[セキュリティリスク:対策]
クラウドにおけるID管理:二要素認証や二段階認証
IDフェデレーションのトラブル:サービスごとのID管理レベルの設定

8.人員

クラウドサービスに限らず、どのようなサービスやシステムも、利用したり、運営するのは人間です。クラウドサービスでは、利用者のリテラシー不足、クラウドサービスの構築・運用・管理に関するリテラシー不足が人員に関する主なセキュリティリスクとなります。

[セキュリティリスク:対策]
クラウド利用者のリテラシー不足:セキュリティ教育・研修
クラウドサービスの構築・運用・管理に関するリテラシー不足:手順の明確化・研修、監視体制の構築

クラウドセキュリティで暗号化を活用する際のポイント

クラウドサービスは、ID・パスワードが漏れてしまったり、サーバの公開設定ミス、利用者の誤った使い方などで、データが漏えいしてしまう可能性があります。そうした懸念への対策として有効になるのがデータの暗号化です。

暗号化を活用するメリット

クラウドセキュリティにおいて暗号化を活用するメリットは、具体的にどのような点でしょうか。クラウドに保存するデータを暗号化しておくことで、万一、不正アクセスなどで情報が漏えい・流出しても、データの内容を第三者が閲覧することは難しくなります。
またインターネットを介してクラウド環境とデータをやり取りする際も、データが暗号化されていれば、仮に途中でデータが不正に傍受された場合でも、内容を理解することができなくなります。クラウドサービスは、不特定多数が利用するインターネットを使ってアクセスします。クラウドセキュリティの観点から、データの暗号化はますます重要になってくるでしょう。

暗号化を活用する際のポイント

クラウドサービスでの暗号化の活用は、セキュリティの向上という大きなメリットがある反面、暗号化に手間がかかる、暗号化ツールでコンピュータに負荷がかかり、動作が遅くなる。暗号化通信を行うことで、通信が遅くなるなどのデメリットもあります。また、暗号を復元するためのパスワードを紛失してしまった場合、データを復元できなくなります。暗号化のメリット、デメリットを理解したうえで暗号化を活用する事が重要です。

また暗号化は万能ではありません。暗号化のためのパスワードや暗号キーを厳重に管理しておかなければ、暗号化の意味がなくなります。また、暗号を解読する技術も日々進化しているため、定期的に情報をアップデートしておくことが欠かせません。
暗号化といっても、ファイル、データベース、ハードディスクなど、何を暗号化するかによって、使い勝手やセキュリティは変わってきます。自社の使用状況に合わせて、暗号化を活用してください。

クラウドデータやファイルを共有する際のポイントや注意点

クラウドサービスは、データやファイルを共有管理できることが大きなメリットです。
クラウド以前は、同じデータを多くの人がローカルに保存して閲覧するようなケースもありました。全体で見れば、コンピュータのリソースの無駄使いにつながります。また、データを更新する際には、全員が新しいデータをダウンロードして、ローカル環境のデータを入れ替えるというような作業も発生していました。クラウドなら、そうした作業を省くことができます。全体で見たときにコンピュータのリソースを有効活用できるうえに、作業の合理化・省力化にもつながります。

一方、クラウド環境では、クラウドにあるデータを多くの人が共有して利用することになるため、データの管理は定められたルールのもとに、より厳格に行う必要があります。不用意に更新したり、誤って削除するようなことは避けなければなりません。ファイルの命名規則なども全社共有で明確にしておきます。

クラウドとオンプレミスのセキュリティはどう違う?

クラウドと、オンプレミス(社内システムに必要なハードウェア・ソフトウェアなどを自社で保有し、運用する形態)では、セキュリティはどのように違うのでしょうか。クラウドは、社外のデータセンターにシステムとデータを置き、インターネットを経由して利用するため、セキュリティが不安と言われることもありますが、本当にそうなのでしょうか。クラウドとオンプレミスのセキュリティについて、見ていきましょう。

クラウドとオンプレミスのセキュリティ比較

●独自のセキュリティ機能
オンプレミスは、システムを社内で独自に開発できるため、必要に応じて、厳格なセキュリティ機能を追求することができます。例えば、部署やチーム、あるいは職階などによって細く限定されたアクセス権限、何重にもわたる認証機能などをシステムに追加することができます。使い勝手を多少犠牲にしても、セキュリティを優先する、といった設計・運用が可能です。
一方、クラウドは、あくまでもクラウド事業者が提供するセキュリティ機能を使用することが前提となります。セキュリティは今、重要な課題なので、どのクラウド事業者も最新鋭・最先端のセキュリティ機能を準備していますが、それでも世の中に出回っているセキュリティ機能を使用することになります。セキュリティを重視したシステム構築を望む場合は、オンプレミスが有利と言えます。

●リモートワークなどへの対応
ワークスタイルの変化、リモートワークの普及などで、ITシステムの利用形態も変化しています。かつてはアクセス先が社内の有線ネットワークのみだったものが、無線LANに対応したり、さらには社外の営業先からのアクセス、リモートワークの自宅からのアクセスなど、さまざまなアクセス形態への対応が求められるようになっています。
こうした場合、クラウドはそもそもインターネットを介した利用を前提としているため、一定・一律のセキュリティを確保できます。一方、オンプレミスはさまざまなアクセス形態に対応するための設備を自社で用意しなければなりません。リモートアクセスニーズが高まった場合、設備の拡充が追いつかず、セキュリティ対策が追いつかないケースも想定されます。

●サポート体制
先述した課題は、サポート体制にも関わってきます。
オンプレミスはハードウェア・ソフトウェアのみならず、システム運用の人員を社内で抱える必要があります。業種・業態によっては、24時間365日の対応が必要になり、データの利用がますます重要になるなか、サポートの負荷も大きくなってきています。
また、アクセス形態の多様化は、新しい設備の導入・運用が増えることにもつながり、運用スタッフには新たなスキルやノウハウが必要になっています。ですが、そうした人材は一朝一夕で育つものではなく、運用スタッフの確保は大きな問題です。
一方、クラウド事業者はシステム基盤・ネットワーク基盤の運用のプロであり、最新のハードウェアとともに、最先端の人員を揃えています。ネットワーク環境が多様化するなか、クラウドの方がさまざまなアクセスに対応したセキュリティを確保できると言えます。

つまり、クラウドとオンプレミスのセキュリティは、ITシステムの利用形態に応じてさまざまな要件が求められ、企業によってそれぞれ異なります。自社に必要なセキュリティ、自社が望むセキュリティを実現できるのはクラウドか、オンプレミスか。十分に精査・検討することが必要です。

どちらのセキュリティレベルが高いのか?

ここまで説明してきたように、クラウドとオンプレミスのどちらがセキュリティレベルが高いのかは、一概に言うことはできません。アクセスが1拠点のオフィス内からに限られるのであれば、オンプレミスは完全に社外のネットワークから切り離すことができ、セキュリティレベルは高いと言えます。ですが、今、そのように完全に閉じたITシステムは少ないと考えられます。
複数拠点からアクセスがあり、さらに社員が社外からも頻繁にアクセスするようなITシステムの場合、オンプレミスでの対応はハードルが高くなっており、無理に自社で対応しようとすると、逆にセキュリティに抜け穴をつくってしまうこともあります。そうしたITシステムは、クラウド環境で構築した方が統一的なセキュリティ対策を導入でき、結果的に高いセキュリティレベルを実現できます。
さらに今では、クラウドサービスの利用進展に伴って、セキュリティを確保した、安全なネットワーク接続をクラウドからサービスとして提供する「SD-WAN(Software Defined-Wide Area Network)」というサービスも登場しています。SD-WANを利用すれば、オフィスからでも、リモートワーク先からでも、安全にクラウドにアクセスすることができ、高いセキュリティを維持することができます。

クラウドサービスに特化したセキュリティ基準とは

クラウドサービスの利用が広がり、クラウドサービスを掲げる事業者が数多く登場してきています。クラウドサービスは事業者ごとのサービスの違いがわかりにくい面があり、ユーザにとっては選択に頭を悩ませることになります。クラウドサービスの選択の際に、ひとつの目安となり得るのがクラウドサービスに特化したセキュリティ基準です。複数のセキュリティ基準が登場してきていますので、それぞれの概要・特徴を理解して、クラウド事業者選びの参考にしてください。

1.ISMSクラウドセキュリティ認証(ISO/IEC27017)

ISMSクラウドセキュリティ認証(ISO/IEC27017)は、一般社団法人情報マネジメントシステム認定センター(ISMS-AC)による認証制度です。ISMS(ISO/IEC27001)は、情報セキュリティの認証制度として知られていますが、クラウドの普及に伴い、クラウドサービス事業者も協力して策定してガイドラインを作成。それをベースに、ISO(国際標準化機構)に認定されたものが「ISO/IEC27017」となり、ISMS認証制度に組み込まれたものがISMSクラウドセキュリティ認証(ISO/IEC27017)です。
ただし、ISMSクラウドセキュリティ認証は、これのみを単独で取得することはできません。まず、一般的な情報セキュリティシステム規格であるISO/IEC27001、いわゆる「ISMS」を取得する必要があります。ISMSクラウドセキュリティ認証は、ISMSを取得した企業や組織がプラスαで取得できる規格です。

2.CSマーク(クラウド情報セキュリティ監査)

CSマーク(クラウド情報セキュリティ監査)は、JASA – クラウドセキュリティ推進協議(JCISPA)による監査制度です。クラウドサービス事業者が行うべき情報セキュリティマネジメントの基本的な要件(基本言明要件)を定め、クラウドサービス事業者が基本的な要件を実施しているかを評価して、安全性が確保されていることを顧客に明確にする仕組みです。CSマーク(クラウドセキュリティ・マーク)はその認定マークで、ゴールドとシルバーの2種類があります。外部監査を終えたものがゴールド、内部監査を終えたものがシルバーです。

3.CSA STAR認証(CSA Security)

CSA STAR認証(CSA Security)は、アメリカの業界団体であるCloud Security Alliance(CSA)が提供するクラウドセキュリティの認証制度です。CSAが開発したクラウドサービスの成熟度を測る基準「クラウドコントロールマトリクス」を使い、ISO/IEC27001の取得を前提とする認証制度として整備されました。
認証にあたっては自己認証を行う「Level1」から、第三者評価を行う「Level2」、さらに継続的にモニタリングを行う「Level3」の3段階があります。

4.StarAudit Certification

StarAudit Certificationは、EuroCloud Europe(ECE)による認証制度で、クラウドセキュリティを6つの領域──CSP(クラウドソリューションプロバイダー)の情報、法的事項、セキュリティとプライバシー、データセンター、運用プロセス成熟度、クラウド形態──に分け、それぞれ3つ〜5つの星の数で評価します。セキュリティとプライバシーでは、ISMS認証が必要になります。 6つの領域に分かれ、3つ〜5つの星の数で評価するため、部分的な認定(データセンター、SaaSなど)を受けることもできます。

5.FedRAMP

FedRAMPは「Federal Risk and Authorization Management Program」の略で、アメリカの政府機関がクラウドサービスを利用するために採用しているクラウドサービスのセキュリティについての共通の認証制度です。アメリカ政府機関にクラウドサービスを提供する事業者は、FedRAMPの認証が必要です。事業者はアメリカに限らず、世界中の事業者が対象になります。
FedRAMPによる認証は、いわばアメリカ政府からセキュリティが認められたことを意味し、世界的な大手クラウド事業者がFedRAMPを取得しています。

6.SOC2(SOC2+)報告書

SOC2(Service Organization Control)報告書は、米国公認会計士協会(AICPA)が定めたトラストサービス基準(Trust Service Criteria)に従って、クラウドサービス事業者などのアウトソーシング事業者のセキュリティ、機密保持、プライバシーなどに関する内部統制についての評価を記したものです。
アウトソーシング事業者によっては、トラストサービス基準でカバー出来ないケースもあり、SOC2の範囲を拡張したものがSOC2+です。

セキュリティレベルの高いクラウドサービスの選び方

ここまでクラウドセキュリティのさまざまな側面を見てきましたが、具体的にセキュリティレベルの高いクラウドサービスを選ぶには、どのようにすればよいのでしょうか。2つの選び方を紹介します。

選び方1.総務省のサイトやガイドライン

総務省は、クラウドサービスを含むインターネットの安全・安心な利用を実現するために、情報セキュリティについての知識を提供するWebサイト「国民のための情報セキュリティサイト」を展開してきました。このサイトは、2022年5月に新サイトが公開されていますが、もとのサイトも残っており、その中に「クラウドサービスを利用する際の情報セキュリティ対策」というページがあります。

ここでは、クラウドサービスの概要やクラウドサービスを利用する際の注意点がわかりやすくまとめられています。なかでも「クラウドサービス事業者が行うべき主要な情報セキュリティ対策」としてあげられている6つのポイントは最低限チェックすべき項目として、クラウドサービスを選ぶときに参考にできます。
すでに紹介済みですが、再度、掲載しておきます。

クラウドサービス事業者が行うべき主要な情報セキュリティ対策
・データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
・データのバックアップ
・ハードウェア機器の障害対策
・仮想サーバなどのホスト側の OS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
・不正アクセスの防止
・アクセスログの管理

また総務省は、より詳細なガイドラインとして、「クラウドサービス利用・提供における適切な設定のためのガイドライン」を発表しています。84ページにわたるガイドラインには、クラウドサービスの利用者・事業者の双方が認識しておく事項、具体的な対策がまとめられています。クラウドサービスを選ぶ際に確認しておくと良いでしょう。
new window参照:総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」

選び方2.セキュリティ基準の有無

前述した、クラウドに特化したセキュリティ基準やセキュリティ認証の有無を確認することも、信頼できるクラウドサービス事業者を選び、安心してサービスを利用する際の目安となります。認証制度によって、日本独自のもの、アメリカ、ヨーロッパ、全世界と対象地域が異なっています。海外拠点を含めたグローバルな利用を想定している、あるいは利用は日本国内に限定されるなど、利用条件によって重視すべきポイントは変わってきます。
また内部監査を行うもの、第三者による監査を行うものなど、認証のプロセスもそれぞれ異なります。一般的には第三者の監査の方が厳しいように思えますが、例えば、内部監査は監査手順まで細かいチェックが求められるなど、一概に優劣をつけることはできません。

ほとんどのクラウドサービス事業者は複数のセキュリティ認証を取得していますので、それぞれの内容や取得の成果などを確認してみると、各クラウドサービス事業者の違いが見えてくるかもしれません。

クラウドセキュリティに関する相談はNECフィールディングへ

在宅勤務やモバイルワーク、さらにはリモートワークなど、働き方改革や時代背景から、場所を選ばず、インターネットに接続できれば、どこからでもアクセスできるクラウドサービスの利用が広がっています。柔軟に、便利に使えるクラウドサービスですが、セキュリティ対策は万全でしょうか?
最近では、社内ネットワークを社外の脅威から守るという考え方ではなく、システムにアクセスするものすべてを信頼しない「ゼロトラスト」という考え方のもと、ネットワーク全体をトータルな視点で捉え、セキュリティ対策を強化する企業が増えています。

NECフィールディングは、お客さまの環境やご要望に合ったクラウドセキュリティ対策を実現。ゼロトラスト時代にふさわしい、安心で便利なクラウド活用をサポートします。

クラウド利用をベースにセキュリティ対策

クラウドサービスの利用拡大とともに、従来とは異なる、クラウド環境に特有のリスクに対するセキュリティ対策が注目を集めています。それが「クラウドセキュリティ」です。クラウドの活用は、情報やデータの共有・活用はもちろん、社員の柔軟な働き方ニーズに対応するために不可欠。優秀な人材の獲得にも影響してきます。クラウドの利用を前提とした新しいセキュリティ対策の導入・展開が今、急務となっています。

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。