クラウドサービスの普及に伴い、セキュリティ対策の重要性が高まっています。本記事では、クラウド利用時に必要な適切なセキュリティ対策について、セキュリティポリシーの策定から、クラウドサービス特有の課題に触れながら解説します。クラウドサービスを安全に活用したい企業や組織のセキュリティ担当者は、クラウドの利点を最大限に活かすための指針としてぜひお役立てください。
クラウド利用時の適切なセキュリティ対策とは
前回記事「事例でみるクラウドサービスのセキュリティ」で述べてきたように、近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービスを利用している企業や組織において対応すべき情報セキュリティ対策が曖昧になっていることです。クラウドサービスの利用にあたっては、アクセス制御や権限管理についてユーザ側で対応する必要があり、これらを軽視すると設定ミスが発生し、それが重大なインシデントを引き起こしかねません。設定ミスを起こさないためには、クラウドサービスにおけるセキュリティ設定を確実に確認する必要があります。
セキュリティポリシーの策定と運用
設定ミスを未然に防ぐために、セキュリティポリシーの作成が重要となります。セキュリティポリシーとは、組織が情報資産を保護するために策定するルールやガイドラインの総称です。これには、データの取り扱いやアクセス権の管理、セキュリティ対策の実施方法などが含まれます。セキュリティポリシーは、組織内のすべてのメンバーが遵守すべき基準を定めることで、情報漏洩や不正アクセスなどのリスクを低減します。内容をルール化、明文化することで、クラウドサービスを適切に使用してもらうための具体的なマニュアル、手順書などを作成することが可能となります。
組織のセキュリティ文書は、「基本⽅針」、「対策基準」、「実施⼿順」の構成をとることが多いです。このうち、「基本⽅針」、「対策基準」がポリシーにあたります。「実施手順」はポリシーから作成されるもので、ポリシー自体には含まないのが一般的です。
情報セキュリティ文書の構成
- 基本方針 情報セキュリティに対する組織の基本方針
- 対策基準 実施するための具体的な規則
- 実施手順 マニュアルなど対象者や用途に合わせ必要な手続き
クラウドサービス利用に関する不安
総務省「令和5年通信利用動向調査の結果」によると、国内でクラウドサービスを利用している企業は、いまや8割近くになります。一方で、セキュリティ担当者はクラウドサービスの利用に次のような不安・課題を抱えています。
このような不安や課題を払拭するためには、「ベストプラクティスに基づく適切な設定」「定期的なセキュリティチェック」が必要になります。ベンチマークやベストプラクティスに基づく適切な設定ができていないと、攻撃者に攻撃の隙を与えてしまいます。
クラウドセキュリティの対策方法の一つに、クラウドサービスの設定に関わるベストプラクティス集を利用する方法があります。各クラウドベンダーから公開されており、日本語版も用意されています。CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインもあります。ただし、網羅性が高く項目も多いため、必要な項目を探すには時間がかかる場合もあります。
クラウドサービスが持つ特性
クラウド環境のオンプレミス型とSaaS型のサービスにおけるセキュリティ上の留意点は、主にシステム特性の違いから生じます。オンプレミス型では、ユーザ側が自組織内でインフラやソフトウェアを管理するため、完全なコントロールが可能です。しかし、これは同時にセキュリティ対策の全責任をユーザ側で負うことを意味します。定期的なアップデートやパッチ適用、物理的なセキュリティ確保など、あらゆる面での対策が必要となります。一方、SaaS型では、クラウド事業者がインフラやソフトウェアの管理を行うため、ユーザ側の負担は軽減されますが、アクセス制御や暗号化など対策はユーザ側でも求められます。両者の違いを理解し、適切なセキュリティ対策を講じることが重要です。
また、クラウドサービスは仕様やメニューの更新が必要な場合があるため、定期的に設定の確認が必要になります。クラウドサービスを安心して利用し続けるためには、利用するシステムの特性(スピード感・システム更新頻度・従来のシステムから移行しているかなど)を理解しておくことも重要になります。
セキュリティ設定診断の重要性
クラウドサービスのセキュリティに関する担当者の不安を払拭するのに有効な手段の一つが第三者機関によるセキュリティ設定診断です。適切なセキュリティ設定確認を自組織内ですべて確認するためには人的リソースなどの工数がかかります。セキュリティ設定診断では、自組織が扱う設定項目の確認を自動化し、セキュリティ担当者の負担の軽減につながります。また、第三者機関による網羅的な確認により、クラウドサービス利用時のリスクを可視化することができます。
クラウドサービスに関する設定項目の確認
設定ミスを起こさないためには、クラウドサービスにおけるセキュリティ設定を確実に確認する必要があります。以下の表のような情報を参考に、自組織が扱う設定項目の洗い出しやチェックリストの作成、委託先などとの認識共有を行うことが、設定ミスの予防に役立つでしょう。
【図表Ⅲ.3.1-1 クラウドにおけるセキュリティ設定項目の類型と対策】より弊社作成
設定項目のうち特に重要とされるのはアカウント管理であり、管理者などの特権アカウントについては、多要素認証や複数人でのチェック体制、ログの監視など、厳格な取り組みを行うことが強く推奨されます。
セキュリティガイドラインの紹介
パブリッククラウドにおけるセキュリティ設定の基準に、「CISベンチマーク」があります。CIS(Center for Internet Security)は、米国の複数の政府機関、企業、学術組織らがインターネットセキュリティの標準化に取り組む非営利団体です。OSを含む各種コンポーネントに対するベンチマークを策定しており、有効なセキュリティ評価基準として認識されています。パブリッククラウドにおいては、AWSをはじめ、Azure、GCP対応のCISベンチマークも公表されています。
また、自組織の環境の安全性をより高めていく上で、ツールやガイドラインの活用も有効です。
■クラウドサービス提供者向け
総務省
「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」
■クラウドサービス利用者・提供者向け
IPA
「中小企業の情報セキュリティ対策ガイドライン」付録6:中小企業のためのクラウドサービス安全利用の手引き」
総務省
「クラウドサービス利用・提供における適切な設定のためのガイドライン」
経済産業省
「クラウドセキュリティガイドライン 活用ガイドブック」
まとめ
近年、クラウドサービスの設定ミスによる機密情報漏洩事例が増加しています。この問題の主な原因は、クラウドを利用している企業のセキュリティ対策の不明確さにあります。設定ミスを未然に防ぐために、セキュリティポリシーの策定と運用が重要です。これは組織の情報資産保護のためのルールやガイドラインを定めるものです。クラウドサービスを利用している企業は増加していますが、セキュリティ担当者は様々な不安を抱えています。これらを解消するには、ベストプラクティスに基づく適切な設定と定期的なセキュリティチェックが必要です。クラウド環境には、オンプレミス型とSaaS型があり、それぞれ特性が異なるため、両者の違いを理解し、適切なセキュリティ対策を講じることが重要です。
クラウドサービスの基本的なセキュリティ対策は、従来のオンプレミス環境での対策と同様の方法です。ただし、環境によって管理する内容が異なるため、クラウド環境特有のセキュリティ対策も必要となる点に注意が必要です。クラウドセキュリティの対策のポイントとしては、ベストプラクティスにもとづいた設定の見直しと、第三者機関による定期的なセキュリティチェックを受けることです。自組織において適切な対策を実施し、セキュリティリスクを最小限に抑えましょう。
Security Report TOPに戻る
TOP-更新情報に戻る
