従来までのセキュリティ対策といえば、PCやサーバーにセキュリティ対策ソフトウェアを導入し、ネットワーク上にはファイヤーウォールやIDS・IPS(不正侵入検知・防御システム)を設置するものが一般的でした。これによって、PC端末やサーバーがマルウェア等の脅威に感染することを防ぎ、また、外部からの不正アクセス等からイントラネットを守っていました。
このセキュリティ対策、クラウド利用を進める中でも同じ対策で良いのでしょうか。また、クラウドを利用するにあたって新たに必要になる対策はないのでしょうか。
クラウドのセキュリティにおける課題とは
まず、クラウドのセキュリティにおける課題を確認する前に、改めてクラウドが従来からのPCや物理サーバーとどのように異なっているのかということを確認しておきましょう。
従来のセキュリティ対策とは、どのようなものだったのでしょうか。それは以下のようなものとなります。
- ウィルス対策ソフトウェアの導入(PC、サーバー)
- インターネットゲートウェイへのファイヤーウィールの設置
- IDS(不正侵入検知装置)やIPS(不正侵入防止装置)の設置
PCへのセキュリティ対策ソフトウェアの導入というと皆さんも良くご存知だと思います。ウィルスバスターやノートンなどのソフトウェアをPCにインストールしてマルウェア等の脅威から保護するというものです。
次のファイヤーウォールの設置は、専用のファイヤーウォール機器やソフトウェアによってネットワークを通過するプロトコルや発信元を制限し、不正なアクセスなどから内部ネットワークを保護するものです。
最後のIDSやIPSはネットワーク上に専用機器を設置して、不正アクセス時に即座に検知したり、検知後アクセスをブロックしたりするものです。
これら従来型のセキュリティ対策に対して、クラウド時代に突入した今、どういったことが課題となっているのでしょうか。それは以下のようなことです。
- インターネットを介した情報漏洩の恐れ
- 他社とフレームを共有することによる情報漏洩の恐れ
- 外部にデータを預けることによる流出の恐れ
では、改めて一つずつ見ていきましょう。まず「インターネットを介した情報漏洩の恐れ」ですが、クラウドではすべてのサービスがインターネットを介してデータセンターなどに接続することによって利用する形となっています。したがって、インターネットに接続する回線などからの情報漏洩を防ぐということの重要性が高くなっています。
次に「他社とフレームを共有することによる情報漏洩の恐れ」について。クラウドでは同じデータセンターで他社とサービスのフレームを共有しているケースが多くなります。したがって、共有しているフレームを通して情報漏洩が起こらないようにすることが課題です。
最後に、よくクラウドを利用するにあたって企業では危惧されることですが「外部にデータを預けることによる流出の恐れ」です。自社内ではなく外部でデータを管理することで流出につながりはしないかという危惧を抱かれるケースが多いです。
クラウド利用についてセキュリティの面から抱かれる危惧は以上のようなものです。
セキュリティ事故や脆弱性の実例
クラウドは従来のPCや物理サーバーのシステムとはセキュリティにおける課題が異なっているということはご理解いただけたと思います。これまでとは違うクラウドというサービス形態で各企業ともまだまだ理解が十分でない側面もあるように思われます。
ところで、セキュリティ面で重視されることが異なってくるということですが、具体的にクラウドシステムの利用で発生したセキュリティ事故や脆弱性の事例にはどういったものがあるのでしょうか。
<セキュリティ事故の実例>
クラウド上のストレージからのデータ消失
2012年6月20日にヤフー子会社のファーストサーバが運営するオンラインストレージ上でデータ消失が発生し、5698件のデータが消失、ほぼ復旧不可能となりました。
Dropboxのセキュリティ障害
2011年6月19日に4時間ほど任意のパスワードで他人のデータを閲覧できる状態になっていたとDropboxから発表がされました。
Google Docsのセキュリティ障害
2009年3月9日に、Googleのオンライン上のドキュメント作成・利用サービスである「Google Docs」で非公開のドキュメントが他人に共有されてしまうというアクシデントが発生しました。
クラウドのセキュリティ事故事例としては上記のようなものが挙げられます。
クラウド利用時のセキュリティ対策
IDCジャパン株式会社の2016年の発表では、「国内クラウドセキュリティ市場は2020年には193億円に達する」との予想が出ています。このようにクラウドのセキュリティ対策の重要性が今後さらに高まるのは確実です。
現在、クラウドのセキュリティ対策は主に以下のような3つの観点に基づいて行われています。
まず、クラウドサービスを提供する事業者側のセキュリティ対策としては以下のようなものが挙げられます。
- ログインに多要素認証を用意する
- データを多拠点でバックアップする
ログイン認証を厳格化することで、他人が利用者になりすますことを防いでいます。また、多くの企業からデータを預かっているのでよりバックアップを確実に取得することが必要になります。
これに対して、利用者ができる対策は以下の通りです。
- ウィルス対策ソフトを導入する
- ファイルや通信経路の暗号化を適切に行う
インターネットを介して情報をやり取りするため、回線途上でデータが読み取られる恐れが高まるため、「ファイルや通信経路を暗号化」することでそのリスクを減らすのです。ウィルス対策ソフトの導入は従来からのものと同じです。
まとめ
クラウドは従来のPCやサーバーとは異なり、データを手元に置かず、すべてのサービスをインターネットを介して利用します。このため、従来からの「ウィルス対策ソフトの導入」や「ファイヤーウォールの設置」ではカバーできない部分が出てきます。
特にインターネットを介してサービスを利用するという面から、ネットワークのセキュリティ対策が重要になります。そういう意味で、「データやファイルの暗号化」「ログインの2段階認証等の複雑化」といった、他者からデータが読み取られたり不正にログインしたりすることを防ぐことが従来にも増して大切になります。またさまざまな顧客の多くのデータを預かる事業者側では「データの複数バックアップ」がとても大切になります。
もちろん従来からのウィルス対策ソフトの導入などは端末でデータを利用する私たち利用者にとって大切であることは変わりません。しかし、クラウドの場合はさらにネットワークのセキュリティ対策が重要になるのです。
<参考>
「クラウドサービスを利用する際の情報セキュリティ対策:総務省」
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/15.html
「クラウドの真の課題はどこにあるのか?:セキュリティオンライン」
https://enterprisezine.jp/iti/detail/2426
「クラウドセキュリティ市場は今後も拡大、2020年には193億円に:インプレス」
http://cloud.watch.impress.co.jp/docs/news/1030041.html
「クラウドサービスを利用するときにチェックしたいセキュリティのポイント:シマンテック」