1. TOP
  2. ブログ
  3. クラウドサービスのセキュリティはどう担保する?

クラウドサービスのセキュリティはどう担保する?

クラウドサービスを利用する際に、検討するべきセキュリティのリスクや対応にはどのようなものがあるのでしょうか。クラウドサービスにおけるセキュリティ対策について考えます。

クラウドに預けて良いデータかまずは検討

クラウドサービス(プラベートクラウドを除く)にデータを預ける場合には、その情報の漏洩リスクを検討する必要があります。絶対に漏らしてはならないような機密情報や個人情報に当たるデータを収容するシステムを容易にクラウドサービスに移管するべきではありません。
情報漏洩によるリスクの高いデータは、オンプレミスやプライベートクラウドに置くことをまずは考えるべきですし、どうしてもという場合には、クラウドサービスのセキュリティ要件を厳しくして選定する必要があります。

クラウドサービスに求められるセキュリティ対策

では、クラウドサービスにはどのようなセキュリティ対策が求められているのでしょか。項目に分けて見ていくことにしましょう。

データ破損への備え

クラウドサービスに預けるデータがどのように保護されているのかはよく検討しなければなりません。障害発生時等のデータ保護がしっかりしているか、バックアップ体制は?クラウドサービスがどのような対策を講じているかをよく検討する必要があります。もし不十分な場合には、利用者の側でデータのバックアップを検討する必要があるかもしれません。
また、最近では大規模災害に対するBCP(事業継続計画)の対策としてクラウドサービスを利用する企業も増えていますが、そもそもクラウドサービスのBCPがどうなっているかも確認する必要があります。

脆弱性の排除は行われているか

特にSaaSやPaaSにおいて問題となりますが、OSやミドルウェアの脆弱性への対策が継続して行われているかは重要なポイントです。OSやミドルウェアの脆弱性を狙った攻撃が増えていますので、脆弱性への対策(修正パッチの適用)などはすみやかに行われていることは必要不可欠です。

他にも、通信はSSLサーバ証明書などを利用して暗号化されているかは重要です。いくらサーバのセキュリティ対策がなされていても、通信を傍受されてしまっては意味がありません。

ID、パスワードは漏洩前提でリスク管理を

IDとパスワードのみでの管理はたとえ厳密に管理したとしても漏洩してしまうリスクがあります。IDやパスワードの使い回しによる流出などがそれです。たとえ、それを防ぐために定期的なパスワード変更などの対策行ったとしても万全とは言えません。セキュリティを高めるため、多要素認証を導入しているサービスを選択することによって、万が一パスワードが漏洩してしまった場合にも侵入を防ぐことが可能です。

一方で、セキュリティを重視するあまり、例えばパスワードを忘れてしまい、ログインできない場合にもし、郵送や電話/FAXを使った対応しか許されない場合には、今度は利便性が低下します。

安全なクラウドサービス選定のために

ここまでクラウドサービスのセキュリティ要件について見てきましたが、利用しようとしているクラウドサービスが本当にセキュリティ要件を満たしているのか、すべて調査をすることは企業の担当者レベルではなかなか難しい状況です。
そうした状況が広がるなか、日本セキュリティ監査協会(JASA)は「クラウドセキュリティ推進協議会」を発足させ、ユーザが懸念とするセキュリティ対策について、経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」をベースに自発的な内部監査、専門の認定機関による外部監査の2種類の言明に対してシルバーとゴールドの認証マーク(CSマーク)付与するという活動を行っています。このCSマークをクラウドサービス選びのセキュリティ基準のひとつとすることができるでしょう。
詳しい内容については、JASA – クラウドセキュリティ推進協議会のホームページに公開されていますのでチェックしてみてください。

    カテゴリ一覧

    PAGE TOP