サイト内の現在位置
クラウドセキュリティとは?クラウド環境のリスクと対策方法を解説

クラウドセキュリティとは、クラウド環境でのリスクに備えるためのセキュリティ対策を指します。利便性の高さやリモートワークの一般化から、クラウドサービスを利用する企業や組織は増加しています。しかし、クラウド環境では従来のネットワークモデルとは違ったリスクがあるため、それに対応したセキュリティ対策が必要です。
今回は、クラウドセキュリティとは何かを解説し、クラウド環境で起こりうるリスクや具体的な対策方法などについて紹介します。
クラウドセキュリティとは、データ保護のためのセキュリティ対策のこと
クラウドセキュリティとは、クラウド環境でのデータ保護や不正アクセス防止のために行うセキュリティ対策のことです。
クラウドサービスの市場拡大やクラウドサービスの利用増加に伴い、クラウド環境を狙ったサイバー攻撃や、情報漏えい事故が増加しています。従来のネットワークモデルでは、第三者が内部のネットワークにアクセスしないように制限すれば、ある程度セキュリティが確保できました。しかし、接続性の高いクラウド環境では、内部と外部を分けることが難しくなっています。
以前はクラウドサービスの弱点として、オンプレミスに比べてセキュリティの低さを挙げる声もありましたが、現在はクラウドセキュリティのガイドラインや国際基準も生まれ、クラウドとオンプレミスのセキュリティに優劣はつけられなくなっています。
クラウドとオンプレミスのどちらが優れているかではなく、クラウドサービスを利用するのであれば、クラウドならではのリスクに備えなければなりません。サービス提供事業者だけでなく、利用するユーザにもセキュリティ対策が求められているのです。
クラウドセキュリティの必要性
クラウドサービスのセキュリティが低ければ、サイバー攻撃のリスクや、情報漏えいなどのリスクは高まるでしょう。また、どれだけセキュリティの高いクラウドサービスでも、ユーザのセキュリティへの意識が低ければ、やはりリスクは高まります。
クラウドサービスを利用するときは、クラウドサービスにどのようなセキュリティのリスクがあるのかを検討しておかなければなりません。その上で、利用する際にどういったことに注意すべきか、サービスを選ぶときはどのような点をチェックすべきか、理解しておくことが重要です。
総務省ではクラウドセキュリティについて、2011年に「クラウドサービス提供における情報セキュリティ対策ガイドライン」(クラウドセキュリティガイドライン)を発行しました。改定を経て、2024年8月現在は第3版が配布されています。2015年には、セキュリティガイドラインをもとに、クラウドセキュリティの国際標準規格(ISO/IEC27017)が誕生しました。
※参考:「クラウドサービス提供における情報セキュリティ対策ガイドライン」(総務省)
クラウドセキュリティガイドラインには、サービス事業者が実施すべきことや、ユーザがクラウドサービスを利用する際に注意すべきことなどが記載されています。クラウドサービスを利用する際、自社のセキュリティを見直すために確認してみてください。
クラウド環境でのセキュリティリスク

クラウドサービスのメリットは、インターネット環境があればどこからでもアクセスできる点ですが、それがリスクにもなります。クラウド環境では具体的にどのようなリスクがあるのか、詳しく見ていきましょう。
情報漏えい
クラウドサービスでは、データはサービス提供事業者のサーバに保管され、インターネットを介して利用します。外部とネットワークを共有するため、外部からアクセスされるリスクがあり、意図せず情報が漏えいする危険性があります。
サービス提供事業者はセキュリティ維持に努めていますが、高度化するサイバー犯罪の前では、100%安全と言い切ることはできません。
データの破損・消失
クラウドサービスのサーバは、サービス提供事業者が管理を行っています。災害やサーバ障害、不正アクセスなどがあれば、保存していたデータの破損や消失の可能性があるでしょう。
また、クラウドサービスのメリットにデータの共有の容易さがありますが、複数人でデータを共有できるため、誤って設定を変更したり、データを消してしまったりといったリスクもあります。
不正アクセス
クラウドサービスのログイン画面には誰でもアクセスできるため、マルウェアや不適切な管理でIDやパスワードが流出すれば、第三者が簡単にアクセスできてしまいます。
さらに、クラウドサービス自体が不正アクセスを受ける可能性もあり、そうなれば機密情報の窃取やサイバー攻撃の被害にあう可能性が高まります。
サイバー攻撃
クラウドサービスは、インターネット上にサーバがあることから、サイバー攻撃を受けやすいとされています。例えば、DDoS攻撃を受ければデータが無事でもサーバダウンによってサービスが利用できなくなる可能性がありますし、IDやパスワードを厳重に管理していても、ブルートフォースアタック(パスワードを突破する手段)によって不正ログインされてしまうかもしれません。
実践すべきクラウドセキュリティ対策
クラウドサービスを利用する際は、リスクを踏まえてユーザ側でもセキュリティを強化する必要があります。ここでは、クラウドセキュリティのための具体的な対策方法を紹介します。
アクセス制限
データにアクセスできるユーザを限定することで、不正アクセスのリスクを低減できます。通信を許可するIPアドレスを設定する、ユーザが実行できる操作範囲を設定するといったことも有効です。
仮に従業員のアカウントが乗っ取られるなどの事態が起きても、アクセス制限ができていれば、重要な情報にたどり着きづらくなります。
ユーザ認証の強化
多要素認証の実装は、不正アクセス防止に役立ちます。IDとパスワードのみでログインできれば、それらが流出したり攻撃者に推測されたりして、不正アクセスされるリスクがあるでしょう。
万が一パスワードが流出しても、端末でのワンタイムパスワードや生体認証など多要素認証が実装してあれば、不正アクセスを防止できます。
共有と公開設定の見直し
外部とのデータ共有や公開が容易なことはクラウドサービスのメリットですが、それによる情報漏えい事故も多発しています。本来すべきでない情報を公開してしまうことのないよう、共有や公開の設定は定期的に見直してください。
データのバックアップ
サイバー攻撃以外にも、災害やクラウドサービスのサーバ障害、人的ミスなどでデータが破損したり消失したりするおそれはあります。万が一の事態に備え、定期的にデータをバックアップしておくことが重要です。多くのクラウドサービスにはバックアップ機能が実装されているため、頻度や復旧の手順をあらかじめ確認しておきましょう。
セキュリティ診断の実施
サイバー攻撃は日々巧妙化しており、どれだけ対策しても隙を突かれることはあります。攻撃を受けてしまった際に、被害を最小化する対策も必要です。そのためには、定期的にセキュリティ診断を行い、脆弱性を検知して対策しておきましょう。
クラウドサービスのセキュリティ基準

クラウドサービスを選定する際は、サービス提供事業者が公表しているセキュリティ基準を確認しておくと安心です。ここでは、主なセキュリティ基準を紹介します。
ISMSクラウドセキュリティ認証
ISMSクラウドセキュリティ認証は、情報マネジメントシステム認定センター(ISMS‐AC)が認証する、クラウドセキュリティに関する国際規格です。全世界を対象としており、認定後は年1回のサーベイランス審査と、3年に1回の継続審査を受ける必要があります。
ISMSクラウドセキュリティ認証は、情報セキュリティマネジメントシステム認証「ISO/IEC 27001:2013」を取得した上で、クラウドサービスセキュリティ管理策の「ISO/IEC 27017:2015」を実施していなければ取得できません。
CSマーク
特定非営利活動法人日本セキュリティ検査協会(JASA)が実施している、日本を対象とした情報セキュリティ監査制度がCSマークです。ISMSのクラウドサービスセキュリティ管理策(ISO/IEC 27017:2015)と整合しており、監査状況はWebで公開されています。認証段階には、自己認証のシルバー、第三者認証のゴールドと段階があり、選択が可能です。
CSA STAR認証
CSA STAR認証(CSA Security)は全世界を対象とした、クラウドセキュリティを確保するためのセキュリティ成熟度を測る認証制度です。CSAはCloud Security Allianceの略で、クラウドコンピューティングのセキュリティを確保するためのアメリカの業界団体を指します。認証には自己認証・第三者認証・継続審査の3段階があり、認証の保持には定期的な監査が必要です。
StarAudit Certification
StarAudit Certificationは、ECE(EuroCloud Europe)が認証する、全世界を対象としたセキュリティ基準です。「CSP(クラウドソリューションプロバイダ)の情報」「法的事項」「セキュリティとプライバシー」「データセンタ」「運用プロセス成熟度」「クラウド形態」の6つの項目を、それぞれ星3~5つで評価します。星の数で管理策が異なり、項目を絞って認証を受けることも可能です。
FedRAMP
FedRAMPは、アメリカの政府機関がクラウドサービスを利用する際に採用するセキュリティの認証制度です。情報セキュリティマネジメントシステム認証「ISO/IEC 27001:2013」と整合した「NIST SP800-53」をガイドラインとしており、認証は3段階に分かれます。認証取得後、継続するためには年次で認証機関の審査を受ける必要があり、かつ月次でセキュリティのモニタリング状況を報告しなければなりません。
SOC2(SOC2+)
SOC2(SOC2+)は、AICPA(American Institute of Certified Public Accountants:米国公認会計士協会)が定めるサイバーセキュリティの基準です。SOC2はAICPAによるTrustサービス基準で、SOC2+は任意基準に加わえ範囲を拡張して認証を受けます。「セキュリティ」「可用性」「処理のインテグリティ」「機密保持」「プライバシー」の5つの指標があり、この中から任意の項目を選んで評価を受けることが可能です。
セキュリティの高いクラウドサービスを選ぶ際のポイント
クラウドセキュリティのためには、クラウドサービス自体のセキュリティが高いことも重要です。総務省は「国民のためのサイバーセキュリティサイト」で、クラウドサービスの選定基準を公表しています。クラウドサービスを選ぶときは、サービス提供事業者が以下の対策を継続的に行っているか確認しましょう。
<総務省の提唱するクラウドサービスの選定基準>
- データセンタの物理的なセキュリティ対策(災害対策、侵入対策など)
- データのバックアップ
- ハードウェア機器の脆弱性診断と対策
- ホスト側のOSやソフトウェア、アプリケーションの脆弱性対策
- 不正アクセスの防止
- アクセスログの管理
- 通信の暗号化
※参考:「国民のためのサイバーセキュリティサイト」(総務省)
また、クラウドサービス提供事業者が、前述したようなセキュリティ基準の認証を受けていることでも、セキュリティ対策が十分にとられているか確認できます。
クラウドサービスを利用するときは、クラウドセキュリティを万全に
クラウドサービスを利用する場合は、サービス提供事業者がセキュリティ対策を十分にとっているかどうかを確認することが重要です。
さらに、安全な利用のためには、ユーザ側でもセキュリティ対策を行わなければなりません。クラウド環境でのセキュリティリスクを認識した上で、万全の対策をとりましょう。
NECフィールディングでは、ゼロトラスト時代に求められるクラウドセキュリティ対策を用意しています。お客さまの環境やご要望に合わせて、安全にクラウドサービスを利用するための対策を提案してますので、クラウドセキュリティでお悩みの方はお気軽にお問い合わせください。
関連サービス
関連記事

サイバー攻撃の手口や攻撃範囲は広がり、その影響はますます大きくなっています。今回はサイバー攻撃とは何か、攻撃者がサイバー攻撃を行う目的、近年の動向など、サイバー攻撃の基本的な知識から、実際の被害事例、サイバー攻撃の代表的な10の手口などを解説。さらにサイバー攻撃への対策方法を紹介しています。

悪意のあるソフトウェアを総称する呼び名であるマルウェア。インターネットが普及し始めた1990年代初期に被害が発生し、それから30年経った今でも被害は広がっています。本記事では、マルウェアの種類や被害の内容、感染経路、予防・対策の方法などを解説します。

クラウドとは、ユーザがインフラを構築・設計しなくても、インターネット上で提供されているサービスを利用して、社内のネットワークを利用できるサービスです。クラウドサービス市場は年々増加しており、大手のIT企業がサービス提供事業者になっていることも多いです。本記事ではクラウドサービスとはどのような特徴、種類があるのか、メリット・デメリットなどを詳しく解説していきます。
発行元:NECフィールディング
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。
お問い合わせ