クラウドのセキュリティ対策とは？オンプレミスとの違いを解説

クラウドサービスを利用する際には、人為的なミスのほか、悪意を持つ第三者によるサイバー攻撃や不正アクセスなど、さまざまな要因により重大なインシデントが生じる可能性があります。まずは、クラウドサービスを利用する際のリスクについて紹介します。

情報漏洩

企業にとって、クラウドサービスを利用する上での大きなリスクは情報漏洩です。保有している個人情報や機密情報などの、厳格に管理しなくてはならない情報を外部に漏らしてしまうことを情報漏洩と呼びます。クラウドの場合、IDやパスワードを誤って、部外者に共有してしまうような人為的なミスや、外部からの不正アクセスなどによって発生します。ひとたび情報漏洩が発生すると、企業の社会的信用に大きなダメージとなります。

データ消失やサービス停止

データの消失やサービスの停止も、企業の経営に関わる大きなリスクです。個人情報や機密情報のみならず、営業活動や売上に関するデータ、従業員情報、さまざまなIDやパスワードなど、企業の経営に必要なデータが消失してしまうケースがあります。データが消失してしまうと、データを消失した企業の提供するサービスの停止につながることもあります。人為的なミスや物理的な損害で影響が出るのはオンプレミスと同様ですが、社内にサーバを持たないクラウドの場合は、特に常にバックアップできる状態を保つことが重要です。バックアップサービスを用意しているサービス提供者も多いため、確認するとよいでしょう。

不正アクセスやサイバー攻撃

このガイドラインでは、クラウドサービスを提供する事業者が、提供を進めていくに際して生じるトラブルや対策について記載しています。具体的には、取り扱うクラウドサービスの種類やデータといった特徴に応じたセキュリティリスクと、その対策について解説されています。

対象となる提供事業者は、大手企業だけでなく中小企業なども対象です。さらに、一般の民間事業者だけでなく地方公共団体なども含まれます。実際にセキュリティガイドラインを利用する際には、企業や組織の経営規模やリソースなどを考慮した上で、適したセキュリティ対策を講じることが効果的だとされています。

このようなリスクへの対応を促すため、総務省がクラウドサービスの利用側と提供側のそれぞれに対しガイドラインを定めています。利用側には「クラウドサービス利用・提供における適切な設定のためのガイドライン」（2022年10月）、提供側には「クラウドサービスの提供における情報セキュリティガイドライン」（2021年11月改定）が示されており、利用シーンや用途に即した、適切なセキュリティ対策が必要とされています。
クラウドサービスのセキュリティに関する国のガイドラインについては、以下の記事をご参照ください。

クラウドのセキュリティ対策を講じる上では、従来のオンプレミスで行っていたセキュリティ対策との違いを理解しておくこともポイントです。クラウドの場合はサービスごとにセキュリティ対策が必要となります。

パソコンやサーバなどの端末やネットワークといった環境を、自社で所有し運用するのがオンプレミスです。システムの特徴として、サーバやネットワークの管理や責任の範囲が、社内と社外で明確に分かれているため、自社で一貫したセキュリティ対策に取り組んでいれば効果があります。

一方でクラウドの場合、利用者は自社外の端末やネットワークからも、さまざまな事業者が提供するクラウドサービスにアクセスできます。従業員が実際に使用する端末やネットワークが自社のものでない可能性があるのがクラウドの特徴です。これまではセキュリティ対策を講じた上で従業員にパソコンなどを支給していればある程度のセキュリティは確保できましたが、クラウドでは自社外の端末を利用するケースを想定する必要があります。

そのためクラウドの場合は、各社の内部ネットワークのセキュリティ対策のみでは不十分であり、クラウドサービスごとにセキュリティ対策を講じる必要があります。

クラウドサービスの提供者には、国のガイドラインなどでセキュリティ対策の実施が求められています。具体的には、システム改善や組織体制の整備などの自社でのセキュリティ対策に加え、サービス利用者へのサポートのため、システムに関する最新情報や学習コンテンツ、支援ツールを提供することなどです。また、提供者は継続的に利用者を適切に支援していくことが重要とされているため、定期的な情報発信もあるはずです。提供者からの案内などがあれば必ず確認するようにしましょう。

クラウドサービスを利用する側のセキュリティ対策としては、設備やソフトウェアの面での準備と、社内体制や人材育成などへの取り組みが必要です。それぞれについて紹介します。

セキュリティ対策ソフトの活用やセキュリティサービスの導入

セキュリティ対策ソフトは、個々のパソコンに導入するソフトウェアで、コンピュータウイルスや不正プログラムの対策に効果を発揮します。種類や料金の選択肢などが豊富で導入が手軽なのも特徴です。一方、セキュリティサービスはパソコンなどにソフトウェアをインストールするものではなく、クラウド上で機能する仕組みです。そのため、クラウドのセキュリティサービスは、各種機器の設置やセッティングが不要というメリットがあります。

オンプレミスの場合、同様のセキュリティサービスを利用するためには、各種機器の導入とセッティングが必要でした。そのため、時間や費用などのコストがかかりますが、クラウドの場合はそのような負担を大幅に軽減できます。

制度整備や人材育成

クラウドサービスを安全に利用するには、作業規則やマニュアルの作成が必要です。さらに、作成したルールを正しく実行していくことができるよう、人材育成や組織整備も重要です。セキュリティ対策も含め、クラウドに関する従業員のリテラシーを高める取り組みが必要となります。中でも重要なのは、自分たちが普段使っているクラウドサービスの理解を深めることです。理解を深めることでシステムが変更されたり、機能が追加されたりする際でも、スムーズにリスクの予防や対策措置を実行できるようになります。

クラウドサービスは利用する領域により、3つに大別されます。ハードウェアの保守管理を中心としたインフラ領域を担う「IaaS（Infrastructure as a Service）」、ミドルウェア、OSも含めた開発環境（プラットフォーム）を提供する「PaaS（Platform as a Service）」、エンドユーザが利用するアプリケーションも含めた「SaaS（Software as a Service）」の3種です。
想定される利用者が異なるため、クラウドにおけるセキュリティ対策はSaaSと、IaaS・PaaSの2領域に分けて対策で取り組んでいくのが一般的です。それぞれについて解説します。

SaaSにおけるセキュリティ上のリスクと対策

SaaSでは権限やIDといったアカウント情報、ファイルなどのユーザデータ、通信データといったものの情報漏洩のリスクがあります。また、ネットワークそのものに不正アクセスされることで、通信速度の低下といったインシデントが発生するケースへも対策が必要です。具体的な対策としては、企業全体で契約しているクラウドサービスだけでなく、部署や従業員がそれぞれに利用しているクラウドサービスも含めて、利用状況を把握して、可視化することが求められます。

また、システムやサービスごとに異なる、IDやパスワードといったアカウント情報を統一したり、乱数表やワンタイムパスワードなどを用いた多要素認証を取り入れたりといった取り組みも有効です。アカウントの統一は、アカウントが分からない、忘れてしまったために作業が進まないといった、時間ロスの削減にも寄与します。

メールやファイルといったユーザデータに仕込まれた、不正プログラムを検知することも重要な対策です。やや専門的になりますが、不正なプログラムを検出するパターンマッチングによる対応や、AI技術の活用、サンドボックスといった手法を導入することで対策します。ネットワークのセキュリティ対策では、社外からのアクセス時には「VPN（Virtual Private Network／仮想プライベートネットワーク）」の利用を徹底し、拠点ごとのネットワーク環境の設定を一元管理しましょう。

IaaSとPaaSにおけるセキュリティ上のリスクと対策

IaaSとPaaSについても、アカウント情報やユーザデータ、通信データ、ネットワークといった要素にセキュリティリスクが生じやすいのは、SaaSの場合と同様です。加えてIaaSとPaaSでは、ミドルウェア領域でのセキュリティ対策も求められます。

また、SaaSとは被害や対策が異なってくることも、押さえておくべきポイントです。例えば、アカウント情報では、OSやデータベースなどにアクセスできる特権IDの管理は特に重要です。具体的には特権IDの操作履歴を監視、制御することで、特権IDの悪用に対するセキュリティ対策となります。ユーザデータについては、クラウドサービスにアップロードする際、ファイルを自動で暗号化してくれるツールなどの導入が有効です。

ミドルウェアでは、OSやミドルウェアの脆弱性や設定不備などにより、攻撃を受けるケースがあり、仮想パッチソリューションで対策します。データベースの不正利用に関してはアクセスログを記録することで、不正アクセスを監視することが対策となります。