情報セキュリティコラム第25回

クラウドサービス利用時の
セキュリティ対策

~不安の原因解明と解決に向けたアドバイス~

  1. トップ
  2. 情報セキュリティコラム「The ANGLE」
  3. 第25回 クラウドサービス利用時のセキュリティ対策

クラウドサービスの広がり

NECソリューションイノベータ株式会社 北陸支社の恒田正哉です。
2020年初めからの世界的なCOVID-19の感染拡大にともない、様々な業種業態でテレワークの実施が推奨され、就業場所を選ばずにどこからでも業務に必要なデータにアクセスすることができるクラウドサービスの利用が拡大しています。
総務省の「令和2年 通信利用動向調査」[1]によると、2019年時点でクラウドサービスを一部でも利用している企業の割合は64.7%となり、2015年の44.6%から約20%増加しています。クラウドサービスの効果についても、「非常に効果があった」または「ある程度効果があった」と回答した企業の割合が85.5%となっており、多くの企業でクラウドサービスの効果を実感されています。

クラウドサービスの利用状況

図1:クラウドサービスの利用状況[1]

また、2018年6月に政府が発表し、2021年3月に改訂された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」[2]においても、各府省庁が導入する政府情報系システムの構築を行う際には、クラウドサービスの利用を第一候補として考えるよう提言がまとめられています。

クラウドサービスは「セキュリティ面」が不安?

一方、クラウドサービスの導入をためらう理由として、「セキュリティ面が不安だ」という声を耳にすることが度々あります。各府省庁が導入する政府情報系システムにおいて、クラウドサービスの利用が進まなかった原因の一つも、セキュリティ面への懸念が少なくないことでしょう。
実際に、クラウドサービスの設定不備に伴い、他社への攻撃の踏み台になったり、情報漏洩につながったりするなど、セキュリティインシデントが発生しています。たとえば、2020年12月に顕在化したSalesforce製品の設定不備による問題では、悪用されると意図しない情報が外部から参照される可能性があり、内閣サイバーセキュリティセンター(NISC)や金融庁などから注意喚起が出されました。
また、先にご紹介した総務省の通信利用動向調査[1]においても、クラウドサービスを利用しない理由として「情報漏洩などセキュリティに不安がある」と回答した人が31.8%にも上り、まだまだ不安視されていることがうかがえます。
そこで本コラムでは、クラウドサービスにおけるセキュリティ面の不安が、どのような点にあるのかを考えてみたいと思います。

クラウドサービスを利用しない理由

図2:クラウドサービスを利用しない理由[1]

なぜクラウドサービスのセキュリティが不安になるのか?

クラウドサービスに期待されているセキュリティ対策とはどのようなものでしょうか?
情報セキュリティの言葉の定義を振り返ると、ISO/IEC27001では「情報の機密性、完全性および可用性を維持すること。さらに、真正性、責任追跡性、否認防止および信頼性のような特性を維持することを含めてもよい。」とあります。
自社内でシステムを構築/運用する、オンプレミスと呼ばれる形態の場合には、自社が定めた情報セキュリティポリシーにもとづいて、リスクに応じたセキュリティ対策を行うことによって、そのシステムで取り扱う資産の機密性/完全性/可用性を確保していました。
これに対し、クラウドサービスを利用してシステムを構築/運用する場合を考えてみると、SaaS/PaaS/IaaSとサービスの形態によってレイヤが異なるものの、クラウドサービス事業者のサービス仕様に委ねざるを得ない領域が生まれることになります。そのため、

といった不安が、SaaS/PaaS/IaaSの区分なく、「クラウドサービスはセキュリティ面で不安だ」と漠然と言われる原因ではないかと推測します。

クラウドサービス事業者に任せられる部分はどこか?

クラウドサービスを利用する際の不安を取り除くための一案として、クラウドサービス事業者がセキュリティ対策を行う領域と、利用者側でセキュリティ対策を行う領域とを整理してみます。
NISTのクラウドサービスに関する情報セキュリティのガイドライン“Guidelines on Security and Privacy in Public Cloud Computing”[3]では、SaaS/PaaS/IaaSの各サービス形態にあわせて、クラウドサービス事業者とクラウドサービス利用者との責任分担を以下のように定義しています。また、AmazonやGoogle、Microsoftなどの主要なクラウドサービス事業者も、クラウドサービス事業者とクラウドサービス利用者の管理権限に応じた責任分担の考え方を各社のサイトで公開しています。


本コラムでは、クラウドサービス上で構築されるシステムをモデル化して、以下のようにデータセンターのファシリティから、利用者が利用するアプリケーションおよびデータまでを階層化した構成を考えてみます。

クラウドサービス上のシステムを構成する要素

図3:クラウドサービス上のシステムを構成する要素

ここではSaaS/PaaS/IaaSとクラウドサービスの形態ごとに、ファシリティから利用者データまでの各階層について、クラウドサービス事業者が対策を行うレイヤとクラウドサービス利用者が対策を行うレイヤとを色分けし、それぞれの責任範囲を以下に示します。

サービス形態ごとのクラウドサービス利用者とクラウドサービス事業者の責任範囲

図4:サービス形態ごとのクラウドサービス利用者とクラウドサービス事業者の責任範囲

オンプレミスな形態では、利用者側がファシリティからアプリケーションに至るまでのすべての階層において必要なセキュリティ対策を行い、責任を負うことになります。これに対し


このように、クラウドサービス事業者が提供するサービスの形態ごとに、クラウドサービス事業者の責任範囲が異なります。そのため、クラウドサービスにおけるセキュリティ対策には、クラウドサービス事業者とクラウドサービス利用者の双方の責任範囲を理解し、分担して必要となるセキュリティ対策を行う必要があります。

SaaS型サービスにおけるセキュリティ対策

GmailやDropboxなどSaaS型のサービスを利用する場合には、ファシリティからアプリケーションまでの階層において、必要なセキュリティ対策を実施したものが提供されます。
ただし、クラウドサービス事業者は、契約に則ったサービス(セキュリティ対策)をクラウドサービス利用者に提供するのみなので、平時のサービス利用だけでなくサービス導入後のセキュリティインシデントが発生するケースも想定して、必要なセキュリティ対策がどのような内容なのかを確認することが重要です。また、それらのセキュリティ対策が自社の 情報セキュリティポリシーに準拠した内容であるのかを把握しておく必要があります。
また、SaaS型サービスの利用時に払い出されるさまざまなアカウントの管理が、問題となるケースが散見されます。クラウドサービスを利用する多くの場合には、第三者に推測されにくい強いパスワードを設定することが推奨されます。ただし、あまりにも強いパスワードを求めすぎると、複数のサービス間でパスワードを使い回す恐れもあるため、過度にならないよう配慮する必要があるでしょう。なお、より高いセキュリティレベルが求められるサービスについては、リスクベース認証や 多要素認証(MFA)を利用することを強く推奨します。そのうえ、利用しているクラウドサービスに似せた フィッシングサイトに利用者が誘導され、利用者のアカウント情報が窃取されることにも注意が必要です。そのため、利用者へのセキュリティ教育も重要となります。
なお、クラウドサービスの利用を終える場合にも注意が必要です。利用者データの削除はクラウドサービス利用者が責任を持って実施する必要がありますので、忘れないようにしましょう。

IaaS型/PaaS型サービスにおけるセキュリティ対策

SaaS型のクラウドサービスを利用することでは代替えできないシステムをクラウド上で構築する際には、IaaS型/PaaS型のクラウドサービスを選択します。IaaS型/PaaS型のクラウドサービスを利用する場合には、仮想サーバのOSやミドルウェアより上位の階層のセキュリティ対策は、クラウドサービス利用者が実施し責任をもつことになります。
IaaS型/PaaS型のクラウドサービス上に構築する業務システムについて、クラウドサービス利用者は、以下のような対策を行うことをお勧めします。


どのクラウドサービスを選定すればよいのか?

世の中に数多くあるクラウドサービスの中から、どのようにして適切なクラウドサービスを選定すればよいのでしょうか?
選定の際に参考となる基準の一つとして、内閣官房、総務省、経済産業省により設立された「政府情報システムのためのセキュリティ評価制度(ISMAP)」[5]に登録されているサービスを選定することをお勧めします。ISMAPは、政府がクラウドサービスを調達する際に、そのセキュリティレベルを判断できるようにするための基準を定め、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、円滑な導入を実現するための制度です。政府が情報システムを調達するための基準として整備が進められていますが、民間企業がクラウドサービスを選定する際の基準として活用されることも推測される[6]ので、ISMAPの認証取得の動きを注意深く見守っていただきたいです。

まとめ

本コラムでは、クラウドサービスの導入をためらう理由として耳にする、「クラウドサービスはセキュリティ面が不安だ」という声に対して、クラウドサービスの形態ごとにサービス利用者とサービス事業者との責任範囲が異なることを述べました。
クラウドサービスを利用される際には、自らが責任をもって適切なセキュリティ対策を行い運用する際に必要となるコストと、クラウドサービス事業者にお任せすることによって得られるメリットとのバランスを考慮して、適切なクラウドサービスを選定されることをお勧めします。
また、どのような形態のクラウドサービスにおいても、クラウドサービスを利用して実現する業務のリスクを分析し、必要なセキュリティ対策を決定する責任は、クラウドサービス利用者にあることに変わりありません。必要に応じて、システム構築事業者の支援を得ながらセキュリティ対策を検討されることもあるかと思いますが、システム構築事業者にすべてを一任するのではなく、クラウドサービス利用者の責任において必要となるセキュリティ対策を評価・判断・決定することが重要です。
クラウドサービス利用者が責任をもって、必要となるセキュリティ対策を評価・判断・決定することにより、クラウドサービスを利用する場合でもオンプレミスと同等のセキュリティ対策を実施することができ、不安を解消することができるでしょう。私どもNECソリューションイノベータでは、様々なお客様へのクラウドサービスの導入・システム構築の実績もあり、クラウドサービスに関連したソリューションも取り揃えております。これらの実績やソリューションを活用してお客様のクラウドサービスを使ったビジネスのお手伝いができればと考えております。

掲載日:2021年9月13日
藤本万里子(ふじもとまりこ)

執筆者プロフィール

恒田 正哉(つねだ まさとし)

所属:NECソリューションイノベータ株式会社 北陸支社
1996年 NECに入社。LDAPサービスや PKI基盤に関する研究開発に従事した後、ISO/IEC15408の認証取得支援(ST確認:V017 ファイアウォール コアユニット Ver.1.0 セキュリティターゲット 作成者)を担当。その経験を活かして NECグループへのセキュア開発の展開や、社内外の脆弱性診断業務に従事。2013年にNECソリューションイノベータに出向し、サイバー演習シナリオの設計や環境構築、マイナンバー関連システムのセキュリティ設計に携わる。2017年より自動車や医療機器など IoT領域を対象としたリスクアセスメントや、セキュリティ設計支援に従事している。
著書(共著者)「LDAPハンドブック―ディレクトリ・サービス標準プロトコル」(ソフト・リサーチ・センター 2002年)

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ対応のポイント リーフレット

サイバーセキュリティ対応のポイント リーフレット

NECソリューションイノベータのサイバーセキュリティサイトをA4裏表でコンパクトにまとめた紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • BlackBerry Protect リーフレット

    BlackBerry Protect(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策リーフレット

    Webコンテンツ保護・情報漏えい対策リーフレット(A4・全4ページ)

サイバー脅威からお客様の資産・ビジネスを守る

サイバーセキュリティ

サイバー攻撃が加速度的に高度化・巧妙化し続ける今、
個所を守るセキュリティ対策だけでは対応することが困難になっています。
NECソリューションイノベータは、エンドポイントからクラウドまでシステムを
知るシステムインテグレータの視点で、組織全体のセキュリティ対策強化と、
お客様のビジネスの継続および重要データの保護をサポートします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。