クラウドの市場規模は、DXの推進や新型コロナウイルス感染症(COVID-19)拡大の影響などもあり、成長・拡大を続けています。ICT市場調査専門の株式会社MM総研によると、市場規模は2019年度で2.4兆円(前年比20%以上)。2024年度には約5.4兆円にまで拡大することが見込まれています。しかし一方では、セキュリティ面に対する不安から導入をためらう企業も少なくないようです。
そこでここでは、クラウド利用時のセキュリティ強化の重要性や、導入前に確認すべきことなどについて解説します。
クラウドセキュリティの基本
クラウドセキュリティとは、インターネット経由でのWebサービス利用時に必要となるセキュリティ対策のことです。主なセキュリティ対策には、ファイアウォール、侵入防止システム、仮想プライベートネットワーク、暗号化、認証、システムの監視・分析、ウイルス・マルウェア対策などがあります。
クラウドの利用においては「インターネット回線を利用する」「自社ではなくサービス提供事業者のサーバーを利用する」「サービス提供事業者にセキュリティを依存する」ことが避けられません。そのため、サービス提供事業者が実施するクラウドセキュリティ対策を知ることは極めて重要です。
ネットワークセキュリティとの違い
ネットワークセキュリティとは、自社で情報システムを保有し、運用するオンプレミスでのネットワークセキュリティ対策のことです。インターネットへの接続を安全に行い悪意のある第三者の不正な侵入を防ぐ目的においてはクラウドセキュリティと同じ役割であると言えます。
オンプレミスでの情報システムは、基本的には社内ネットワークを利用して運用されています。そのため外部から攻撃を受けても大きな被害をこうむる可能性は低く、情報漏えいなどセキュリティ面でのリスクは一般的にクラウドよりも低いとされています。また、情報システムを運用するハードやソフト、およびセキュリティ対策を自社の情報セキュリティポリシーに合わせて自由に選択し構築できるなど、カスタマイズ性が高いことも特徴です。
クラウドセキュリティは本当に安全なのか
クラウドの利用には多くのメリットがありますが、セキュリティに不安がある企業も少なくありません。そこで、クラウドセキュリティの安全性について、オンプレミスでのセキュリティの安全性やクラウドセキュリティのメリット・デメリットを紹介して考察します。
クラウドセキュリティのメリット・デメリット
どのクラウドサービスをどのサービス提供事業者で利用するかでセキュリティのレベルは違います。メリット・デメリットもそれぞれ違いがありますが、一般的には以下の通りです。
メリット
パソコンなどの端末そのものにデータを保存しなくても作業ができます。また、クラウド上に保存するアプリケーションやデータはサービス提供事業者によって厳格に管理されるため、セキュリティリスクを小さくできます。アプリケーションはアップデートすることで常に最新のバージョンを利用することができます。
デメリット
インターネットを必ず利用することや情報セキュリティを自社のポリシーで行えないことから、不正アクセスや情報漏えいのリスクはサービス提供事業者に依存せざるを得なくなります。また、サービス提供事業者のミスでデータの消失、情報漏えいなどが起きるリスクも考えられます。
オンプレミスでのセキュリティリスクに対する安全性
オンプレミスネットワークは大きく分けると2種類あります。一つはインターネットに接続されておらず社内のみで利用されるクローズドネットワーク、もう一つはインターネットに接続されているオープンネットワークです。
クローズドネットワークでは外部から不正アクセスは生じないため、情報漏えいなどのリスクに対して非常に高い安全性が担保されます。可能性として考えられるリスクは、社員による不正、社員が外部に持ち出したパソコンやUSBなどの紛失などに限定されます。
一方、オープンネットワークはインターネットに接続されていることから、外部から不正アクセスを受けることによる情報の漏えい、改ざん、ウイルス感染などのリスクがあります。
ネットワークは社内に限定されるため、一般的にはクラウドよりも安全性は高いと言えますが、クラウドのように常に最新のアプリケーションやサービスにオンプレミスで対応していくことは、コスト的にもリソース的にも負担の大きいものとなります。
クラウド導入の前に確認すべきこと
セキュリティリスクを可能な限り低くするためにまず必要なことは、社内のデータを調査して重要度を決め、それぞれについて具体的に何を、どのような脅威から、どの程度、どのように守るのか、といったセキュリティの基本を押さえることです。その基本が整ったら、次にセキュリティに応じた管理体制、設備、ツールを整え、どの業務をどのクラウドサービスで行うかを決めます。
選定にあたっては、セキュリティ対策の内容のほか、財務、実績、コスト、サービスに対する品質保証、サポート、および第三者(認証機関)による認証制度を取得しているかなどを検討します。認証制度については、情報セキュリティ(規格名:ISO/IEC 27001)、クラウドセキュリティ(同ISO/IEC 27017)、クラウド上の個人情報保護(同ISO/IEC 27018)といった制度の取得を確認するとよいでしょう。
また、サービス利用企業のセキュリティ対策内容については、経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(2013年度版)」や「サイバーセキュリティ経営ガイドライン(Ver 2.0)」、独立行政法人情報処理推進機構の「中小企業の情報セキュリティ対策ガイドライン」などを参考にチェックすることをおすすめします。
システム管理者はセキュリティリスクにどう対応すべきか
システム管理者は、セキュリティリスクに対する最新の知識を持ちながら常に安全性の確保に努め、組織内でできる対策を社員に周知徹底しなければなりません。セキュリティリスクについて知識を深めるには、情報処理推進機構の「安心相談窓口だより」のページにさまざまな方法が掲載されています。
セキュリティリスクの対策において注視すべきものには、ウイルス、不正アクセス、脆弱性、標的型攻撃メールへの対策などがあります。例えば標的型攻撃メールであれば、怪しいタイトルのメールや内容がよくわからない添付ファイルは開かないように社員に呼び掛けるなどの啓発が必要です。また、新型コロナウイルスで急増したテレワークやWeb会議におけるセキュリティ上の注意点の周知も必要でしょう。具体的な対策項目については、情報処理推進機構の「情報セキュリティ対策」のページを参考にしてください。
まとめ
ここでは、クラウドセキュリティについて、サービスを利用する場合のセキュリティの重要性や導入前に確認すべきこと、および対応策などについて解説しました。
多くの企業において導入が進んでいるクラウドサービス。経営におけるDXの推進が避けては通れなくなる中、その存在はさらに重要なものとなっていくはずです。一方、利用にあたってはセキュリティ対策の強化は欠かせません。ここにまとめた注意点などを参考にしながら、ぜひ導入のメリットを最大限に活かしたクラウド活用を実現してください。
参考文献:株式会社MM総研「国内クラウド市場は2024年に5兆円超え」