クラウド セキュリティとは? 企業が行うべきセキュリティ対策をわかりやすく解説

クラウド セキュリティとは、クラウド環境でのリスクに対するセキュリティ対策を指します。クラウド環境でのリスクは、クラウドに保管されている重要なデータの漏えいや消失、これらのデータを狙ったサイバー攻撃や不正アクセスなどさまざまです。昨今の働き方の多様化に伴い、場所を問わず利用できるクラウド サービスを活用する企業が増えています。

クラウド サービス内のデータは、基本的にクラウド サービスを提供する事業者のサーバーに保管されており、ユーザーはインター ネットを介してこれらのデータにアクセスします。場所を問わずデータにアクセスできるメリットがある一方で、第三者がこれらのデータへ不正にアクセスするリスクも高まっているのが現状です。不正アクセスによる情報漏えいや改ざんなどの被害を抑えるために、クラウド セキュリティの重要性が高まっています。

クラウド サービスの導入によって、企業はさまざまなメリットを享受できます。最大のメリットは、インターネットに接続できれば、場所を問わずにサービスを利用できる点です。自社内でインフラ環境やソフトウェアを利用できる環境を構築する手間がなく、スピーディーかつ簡単に導入できます。さらに、メンテナンス作業などはクラウド サービスを提供している事業者が行うため、運用に自社のリソースを割く必要がありません。セキュリティ管理者の負担も大きく軽減できるでしょう。

メリットの多いクラウド サービスですが、デメリットもいくつか存在します。クラウド サービスは使用できる機能や UI などが決まっているため、自社の希望に合わせて自由にカスタマイズはできません。カスタマイズできても、制限が設けられているケースが大半です。

また、クラウド サービスを提供している事業者によって、セキュリティ レベルも異なります。仮に事業者のセキュリティ対策が不十分な場合、サイバー攻撃の被害に遭ったり、セキュリティ事故が起こったりするリスクが高まるでしょう。自社でのセキュリティ ポリシーの統一も難しくなります。安全にサービスを利用するためには、十分なセキュリティ対策を実施しているクラウド サービスを選定することが重要です。

クラウド サービスの種類は大きく分けて、SaaS・PaaS・IaaS の 3 つです。

SaaS (サース) とは、インターネット経由でクラウド上のソフトウェアやアプリケーションを利用できるサービスです。代表的な SaaS のサービスとして、Microsoft Word や Microsoft Excel などのオフィス ソフトが使える「Microsoft Office 365」や、「Gmail」 「Google マップ」などが挙げられます。SaaS は、従来パソコンに入れて使用していたソフトウェアを、ブラウザーなどから利用できる点が特徴です。ソフトウェアを購入したり、インストールしたりする手間がなく、インターネット環境さえあればどこからでもサービスを利用できます。

PaaS (パース) とは、クラウドにあるプラット フォームを利用できるサービスです。たとえば、Amazon が提供している「Amazon RDS」や、マイクロソフトが提供している「Microsoft Azure Database」などがあります。PaaS は、アプリケーションを作動させるためのハードウェアや OS などを一式利用できる点が特徴です。そのため、システムの開発環境を構築する手間がかかりません。

このように、PaaS は開発環境を提供するため、開発者にとってはメリットの大きいサービスと言えるでしょう。通常の開発作業では、アプリケーションごとに開発環境の構築が必要ですが、PaaS を利用すればアプリケーションの開発作業のみに注力できます。ただし、利用できる開発言語やデータベースは事業者が提供しているものに限定されるため、開発環境を構築する際の自由度やカスタマイズ性は低くなります。

IaaS とは、インターネット経由でネットワークやサーバー (CPU、メモリ、ストレージ) などのインフラ環境を構築できるサービスです。たとえば、Amazon が提供している「Amazon EC2」や、マイクロソフトが提供している「Windows Virtual Machines」などが挙げられます。IaaS では、サーバーの選定や OS、メモリ容量などのシステムを自由に構築可能です。自社に適したインフラ環境を構築できるでしょう。ただし、IaaS 導入後の運用に関しては、自社内で対応しなければなりません。OS のインストールやシステムの更新、メンテナンス作業などの運用および管理に適切に対応するためにも、専門知識のある人材の確保が必須です。

また、SaaS、PaaS、IaaS などのクラウド サービスは、ユーザーとサービス提供事業者の責任範囲を明確にした「責任共有モデル」を定めています。より事業者側の責任が広範囲となる責任共有モデルを採用することで、ユーザー側の管理負担が軽減され、クラウド全体の情報セキュリティを強化できます。

オンプレミスとは、自社でサーバーやソフトウェアなどを管理および利用するシステムです。昨今のテレワークの普及に伴い、クラウド サービスを採用する企業が増加していますが、社内で運用するオンプレミスと比較してセキュリティ面やセキュリティ リスクに違いはあるのか、気になる方も多いでしょう。

クラウド サービスのセキュリティ レベルは、サービス提供事業者によって常に一定以上のセキュリティが担保されているケースが大半であり、セキュリティ管理の負担も大きくありません。一方、オンプレミスのセキュリティ レベルは、自社のセキュリティ ポリシー次第でどこまでも高められるのが特徴です。ただし、自社で脆弱性を修正するためのパッチ適用やバージョンアップなどを行う必要があり、セキュリティ管理者の負担は大きくなるでしょう。

また、クラウド サービスの場合、データの送受信がインターネット経由で行われるため、セキュリティ面でのリスクが懸念されています。どの場所からでも利用できる分、第三者からねらわれるリスクも高まります。社内に設置しているオンプレミスの場合は、ローカル環境でシステムの構築や運用を安心して行える点がメリットです。このように、クラウド サービスとオンプレミスのセキュリティに関しては、それぞれメリットとデメリットがあります。クラウド サービスを導入する際には、セキュリティ レベルの高さや、自社のセキュリティ要件を満たしているかを確認しましょう。

クラウド環境には、さまざまなセキュリティ リスクが存在します。この章では、クラウド環境における代表的なセキュリティ リスクについて解説します。

クラウド サービスのセキュリティ対策を適切に行っていないと、不正アクセスなどによって情報漏えいが発生するリスクが高まります。企業内で管理している顧客の個人情報や企業の機密情報などの重要データが漏えいすれば、顧客に実害が出ることはもちろん、企業の社会的な信頼が低下し、事業の継続が困難になる事態にもつながりかねません。クラウド サービス提供事業者のセキュリティ対策のレベルや、保証範囲などを事前に確認することが重要です。

情報漏えいは外部からのサイバー攻撃だけではなく、内部社員の不正行為や誤操作などによって引き起こされるケースもあります。そのため、従業員のアクセス権限の管理やパスワード管理なども、社内で厳重に行わなければなりません。

データ消失は、災害やサーバーの障害、外部からの不正アクセスなどが原因で発生するセキュリティ インシデントです。また、従業員が誤ってデータを消してしまったり、破損させてしまったりするなど、ヒューマン エラーが原因となるケースも多く見られます。クラウド サービスには、データを共有、共同編集できるメリットがある一方で、操作ミスによって重要データを削除してしまうリスクもあるため注意が必要です。

クラウド サービスで利用しているデータは自社 PC には保存されないため、万が一のデータ消失に備えて常日ごろからバックアップを取得しておくことが重要です。バックアップを取っておけば、仮にデータが消失してもすぐに復元できます。大半のクラウド サービスでは、データを復元できるようにバックアップのしくみが整っています。

クラウド環境においては、このようなサイバー攻撃を防ぐための十分なセキュリティ対策が必須です

クラウド環境では、悪意のある第三者から不正にアクセスされるリスクもあります。たとえば、マルウェアに社内 PC が感染してしまい、そこから従業員の ID やパスワードが流出するパターンや、内部の従業員が他の従業員の ID やパスワードを不正に利用するパターンが考えられます。

不正アクセスを防止するためには、パスワードの使い回しを回避したり、第三者が推測しにくい複雑なパスワードを設定したりするなど、パスワード設定に関するルール作りや管理体制の構築が重要です。

クラウド セキュリティを実施するためには、項目ごとに適切なセキュリティ対策を講じなければなりません。「クラウド セキュリティ ガイドライン活用ガイドブック」では、クラウド サービス提供者および利用者が実施するべきセキュリティ リスクと対策を項目別に詳しく解説しています。

この章では、クラウド サービスで留意すべきセキュリティ リスクと対策について項目別に解説します。

インフラ環境におけるセキュリティ リスクは、データ流出やなりすましによる社内の重要情報の漏えい、内部社員の意図しない操作ミスによるデータ消失などです。また、通信の傍受や VLAN 上のトラブルが起こるおそれもあります。

対策例としては、暗号通信の標準化や証明書などを活用した認証、ネットワーク機器の構成管理、キャパシティ管理などが挙げられます。人為的なミスを防止するためには、手順書の作成や操作する社員への教育などが有効です。

仮想化基盤での主なセキュリティ リスクは、障害対応の不備やデータ消失です。対策例としては、インスタンスのバックアップやシステム構築のテンプレート作成、バックアップ環境の準備などが挙げられます。

サービス基盤に関するセキュリティ リスクは、単一障害点となる認証サーバーや、決済サービスへのサイバー攻撃です。サービス構成図の作成や単一障害点の明確化、サービスの冗長化などによって、これらのセキュリティ リスクを低減できます。

統合管理基盤でのセキュリティ リスクは、統合管理環境や監視環境に対する不正アクセスなどが挙げられます。適切なアクセス管理を行い、 IDS (不正侵入検知システム) などを利用した監視を実施しましょう。

データ管理に関するセキュリティ リスクは、データ管理のガバナンス喪失や、不正なデータを取得したことによるウイルス感染などが挙げられます。情報資産の分類方針の明確化、アクセス権の設定、ファイルのアップロードやダウンロード時のウイルス チェックなどを実施することで対策が可能です。

データ分類に関するセキュリティ リスクは、適切なアクセス権の設定がされていないことや、データ管理におけるライフ サイクル管理の欠如などです。情報資産の分類方針の明確化、適切なアクセス権の設定や管理を実施することで対策できます。

ID 管理に関するセキュリティ リスクには、ネットワークからの攻撃や、ID フェデレーションのトラブルなどがあります。二要素認証/二段階認証の導入や、クラウド サービスごとの ID 管理レベルの設定などが有効です。

人員に関するセキュリティ リスクは、クラウド利用者のリテラシー不足や、クラウド構築、運用、管理に関するリテラシー不足などが挙げられます。従業員に対してのセキュリティ教育およびセキュリティ研修の実施や、手順の文書化、監視環境の構築などの対策が有効です。

クラウド セキュリティを実現するためには、下記の基本的な対策から着実に実施することが重要です。
この章では、クラウド セキュリティを実現するために欠かせないセキュリティ対策を紹介します。

OS やソフトウェア、アプリケーションなどが古いバージョンのままだと、セキュリティの脆弱性が残り、ウイルスに感染するリスクが高まります。普段から使っている OS やソフトウェアは、常に最新状態をキープするように意識しましょう。

近年では、従業員の ID やパスワードを盗んだり、重要ファイルを勝手に暗号化したりする悪質なウイルスが増加しています。ウイルス対策ソフトを導入すれば、このようなウイルス感染の防止が可能です。ウイルス対策ソフトは、ウイルス定義ファイル (パターン ファイル) によって、既知のウイルスかどうかを判別しています。そのため、ウイルス定義ファイルを常に最新状態にしておくことが重要です。

不正アクセスを防止するためには、パスワードの強化も重要です。パスワードは基本的に使いまわさず、長く、複雑なものに設定しましょう。

クラウド サービスは、遠隔にいる人とも共同で作業できるメリットがあります。一方で、共有設定を誤ったために、関係者以外の人間に情報を覗き見される被害も発生しています。関係者以外の人がサービスや機器を使える状態になっていないか、共有設定を定期的に見直しましょう。

近年のサイバー攻撃は、さまざまな手口で行われています。取引先の人間と偽ってウイルス付のメールを送付したり、正規の Web サイトに酷似している偽サイトを立ち上げて、そこから ID やパスワードを盗んだりするなど、手口自体が多様化かつ巧妙化しているのが現状です。脅威や攻撃の手口を知ることによって、どのような点に気を付ければよいのかが明確となり、企業全体で適切なセキュリティ対策を実施できるようになるでしょう。

(画像出典：Microsoft Defender for Business Web サイト)

Microsoft Defender for Business は、企業のセキュリティ強化に最適なソリューションです。近年、サイバー攻撃の被害は深刻化しており、企業規模にかかわらず悪意のある攻撃者のターゲットにされる危険性があります。そのため、企業はセキュリティ リスクを最小限に抑える、適切なセキュリティ対策を講じなければなりません。

Microsoft Defender for Business は中小企業向けに、大企業向けのセキュリティ対策と同等の高度な機能を提供しています。自社に適した機能を組み合わせることで、シンプルかつ安全なクラウド サービスの利用を実現できます。さらに、AI による自動化でセキュリティ管理者の負担も軽減できる点も大きな魅力です。

Microsoft Defender for Business は、Windows にプレインストールされているため、Windows Update を適用するだけでよく、更新の手間はかかりません。Windows 以外の OS にも対応しており、クロス プラットフォームでの利用も可能です。手間のかかるインフラ構築も不要で、すぐに運用を開始できます。

企業が利用するクラウド アプリケーションを監視し、新しい脅威や攻撃の予兆などを検知したら即座にアラートで通知します。また、組織内への影響に関しては、レポートから簡単に確認可能です。さらに、セキュリティの傾向を可視化して脆弱な領域を検出し、新たなセキュリティ対策を立案することで、セキュリティ リスクを最小限に抑えられます。

24 時間 365 日体制でアラートを自動調査して、複雑な脅威に対しても即座に対応し、修復を行います。セキュリティ管理者は手作業で脅威対策をする必要がなくなり、負担を大きく軽減できます。

攻撃者が使用する、悪用されやすいソフトウェアや攻撃手法を分析し、15 個のルールを作成します。作成したルールを基に、攻撃者による特定の動作をブロックでき、攻撃手段を減少させることが可能です。たとえば、攻撃者がシステムのレジストリを変更しようとした場合、Microsoft Defender for Business はその変更をブロックします。
企業はさまざまな脅威に対応するためのセキュリティ対策を一元化できるため、セキュリティの統合的な管理が可能となります。

企業で管理している PC にインシデントが発生した場合、セキュリティ管理者はインシデントへの対応を遠隔からでも実行できます。速やかな対応が可能となり、インシデントによる被害を最小限に抑えられるでしょう。近年では、テレワークの普及に伴い、企業で管理する PC やスマートフォンなどを自宅に持ち帰って業務を行う機会が増えました。エンド ポイントのセキュリティ管理を実施できるソリューションを導入することで、端末の遠隔操作や速やかなセキュリティ対策を実施できるでしょう。

クラウド サービスを利用することで、企業はさまざまなメリットを享受できます。インターネット環境があればサービスを利用できるため、場所を選ばずに業務を行えるようになります。また、クラウド サービスはスピーディーかつ簡単に導入できる点も魅力です。初期費用やランニング コストを抑えられるほか、セキュリティ管理者の負担を軽減できるメリットもあります。

一方で、不正アクセスや情報漏えいなどのセキュリティ リスクが高まっているため、企業全体でクラウド環境におけるセキュリティ対策を実施しなければなりません。社内でのセキュリティ教育やセキュリティ ソリューションの導入など、実施すべき対策は多岐にわたります。社内全体で継続的に取り組んでいく必要があるでしょう。

Microsoft Defender for Business は、企業のセキュリティ強化に最適なクラウド型のセキュリティ サービスです。手間のかかるインフラ構築は不要で、すぐに導入できます。また、AI による自動化でセキュリティ管理の負担を大きく軽減できるため、セキュリティ対策の立案に注力できる点もメリットです。ぜひ Microsoft Defender for Business の導入を検討してみてはいかがでしょうか。