#ソフトウェア

2025年2月19日2025年2月19日

2025年サポート終了製品リスト付！サポートが終了したソフトウェアを使い続けるリスクとその対策

contents

現代のビジネス環境では、ソフトウェアやシステムのセキュリティ対策が極めて重要です。しかし、多くの企業や個人が気づかぬうちに、サポートが終了したソフトウェアを使い続けることで、深刻なサイバーセキュリティのリスクにさらされています。本記事では、サポート終了製品を利用し続けることの危険性と、その対策について詳しく解説します。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

サポートが終了したソフトウェアとは？

ソフトウェアベンダーは、一定の期間ソフトウェアのアップデートやセキュリティパッチを提供します。しかし、開発の継続が難しくなると、メーカーはその製品のサポートを終了し、新しいバージョンへの移行を促します。例えば、Windows 10は2025年10月にサポート終了が予定されており、企業や個人ユーザーは今後の対応を迫られています。

表.2025年中にEOLとなる製品

サポート終了後のソフトウェアは、新たな脆弱性が発見されても修正されず、そのまま放置されることになります。このため、サイバー攻撃の標的となるリスクが非常に高くなります。

サポートが終了したソフトウェアを使い続けるリスク

セキュリティの脆弱性が修正されない
サポートが終了したソフトウェアには、新たに発見された脆弱性に対するセキュリティパッチが提供されません。そのため、ハッカーにとって格好の標的となり、マルウェア感染や不正アクセスのリスクが高まります。
ランサムウェアやマルウェア攻撃の増加
近年、サポート終了ソフトウェアを狙ったランサムウェア攻撃が増加しています。例えばWindows XPのサポート終了後、「WannaCry」というランサムウェアが流行し、多くの企業が被害を受けました。これと同様の攻撃が、サポート終了後のWindows 10やその他の古いソフトウェアでも発生する可能性があります。
法規制やコンプライアンス違反
企業がサポート終了ソフトウェアを使い続けることは、法的リスクを伴います。特にGDPR（EU一般データ保護規則）や日本の個人情報保護法では、適切なセキュリティ対策を講じることが求められています。サポートが終了したソフトウェアを利用することは、これらの規制違反となる可能性があり、企業の信頼性が損なわれる要因となります。
ソフトウェアの互換性問題
古いソフトウェアを使い続けると、最新のアプリケーションやハードウェアとの互換性が失われる可能性があります。例えば、最新のクラウドサービスが利用できなかったり、新しいデバイスとの接続ができなかったりすることで、業務の効率が低下します。
ITコストの増加
一見すると、古いソフトウェアを使い続けることはコスト削減につながるように思えますが、実際にはその逆です。セキュリティの問題が発生すれば、データ漏えいやシステム停止による損害が発生し、結果的に大きなコストがかかる可能性があります。

サポート終了ソフトウェアへの対応策

速やかなアップグレード
最も安全な対策は、最新のソフトウェアへアップグレードすることです。例えば、Windows 10のサポート終了が迫っているため、企業や個人はWindows 11への移行を検討することが推奨されます。
仮想環境での隔離
どうしてもサポートが終了したソフトウェアを使い続ける必要がある場合は、**仮想マシン（VM）**を利用し、ネットワークから切り離して運用する方法もあります。これにより、セキュリティリスクを最小限に抑えることが可能です。
セキュリティ対策の強化
古いソフトウェアを使用する場合、ファイアウォールの強化や最新のエンドポイントセキュリティを導入することで、攻撃のリスクを軽減できます。また、多要素認証（MFA）を導入することで、不正アクセスのリスクを低減できます。
定期的な脆弱性診断
企業では、定期的な脆弱性診断を実施し、セキュリティの問題を早期に発見することが不可欠です。セキュリティ専門家による診断を受けることで、サイバー攻撃のリスクを軽減できます。
クラウドサービスへの移行
古いソフトウェアの代替として、クラウドベースのサービスを活用する方法もあります。例えば、Microsoft 365やGoogle Workspaceといったクラウドサービスに移行することで、常に最新のセキュリティアップデートを受けられます。

サポート終了後に脆弱性が公表された事例と考察

【事例１】

サポート終了となったCisco社のVPNルータ「RV016、RV042、RV042G、RV082、RV320、RV325」は、緊急の脆弱性（CVE-2023-20025等）により任意のコマンド実行される脆弱性を公表したが更新ファームウェアを提供しないことを表明した。

【事例２】

GeoVision社のいくつかの機器はサポート終了となっており、緊急の脆弱性（CVE-2024-11120）により認証不要のOSコマンドインジェクションがあり、攻撃者による悪用も確認されているが修正パッチ等はない。

上記のように、EOL後に危険な脆弱性が発見された場合でも、公式の対応はなく危険な状態が続きます。また、代替製品への移行など、アップデートだけでは解決しない修正を行う際、迅速に対応できないケースが起こりうることにも注意が必要です。

まとめ

サポートが終了したソフトウェアを使い続けることは、重大なセキュリティリスクを伴うだけでなく、企業の信頼性や業務効率にも影響を及ぼします。特に、サイバー攻撃の標的になりやすく、ランサムウェア被害やデータ漏えいのリスクが高まります。安全なIT環境を維持するためには、定期的なアップグレードや適切なセキュリティ対策を講じることが不可欠です。サポート終了前に適切な対応を行い、安心して業務を継続できる環境を整えましょう。

Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年2月26日（水）13:00～14:00
「AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク」

2025年3月5日（水）13:00～14:00
「ランサムウェア対策の要！ペネトレーションテストとは？-ペネトレーションテストの効果、脆弱性診断との違い-」

2025年3月12日（水）14:00～15:00
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！-ツール診断と手動診断の比較-」

最新情報はこちら

2024年10月30日2024年11月7日

APIとは何か（3）
～APIセキュリティのベストプラクティス～

APIセキュリティは、適切な認証と認可が鍵です。本記事では、APIのセキュリティを強化するための基本的な対策からベストプラクティスまで解説します。脅威に対抗するための対策案を紹介し、セキュアなAPI運用のポイントを提供します。

前回記事はこちら。
シリーズ第1回目「APIとは何か（1）～基本概念とセキュリティの重要性～」
シリーズ第2回目「APIとは何か（2）～APIの脅威とリスク～」

認証と認可の重要性

ソフトウェアセキュリティにおける問題の多くは、信頼境界をまたぐデータ（プログラム内の入出力）やモノ（フレームワーク）に起因しています。様々な場所から様々なデバイスによりアクセスされる昨今の環境下では、既存の認証を信用せず、あらゆるアクセスを信用しないという前提に立った上で動的なアクセスコントロールによって認可する「ゼロトラスト」の考え方が必要です。ポイントは、「認証」と「認可」の違いを的確に理解することです。「認証」と「認可」が適切に区別されていないシステムの場合、本人確認を行うユーザ認証さえ突破してしまえば、システムのどこにでも自由にアクセス可能となってしまい、非常に危険です。

「認証」と「認可」を明確に区別して信頼境界の安全を保つことが重要であり、その実現にあたっては、厳格なセッション管理が鍵となります。代表例として、ソフトウェアにおけるアクセス認可において、アクセストークンによる堅牢な制御の上で、信頼境界ごとのリソースに認可プロセスを設定するといった方法が挙げられます。

基本的なセキュリティ対策

セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

セキュリティ基本10項目

標的型攻撃メール訓練の実施

標的型攻撃メール訓練は、従業員のセキュリティ意識向上と実践的なスキル習得に効果的です。訓練では、攻撃メールを模倣したシナリオを用いて、従業員が疑わしいメールを識別し、適切に対応するスキルを養います。定期的な訓練実施により、従業員のセキュリティ意識が継続的に高まり、実際の攻撃に対する組織の耐性が強化されます。また、訓練後のフィードバックやセキュリティ教育との組み合わせにより、より効果的な対策が可能になります。

定期的なバックアップの実施と安全な保管（別場所での保管推奨）

ランサムウェアによる被害からデータを保護するために、サーバに対してオフラインバックアップ（データだけを独立して磁気テープ・ストレートなどで物理的に隔離しておくこと）を行うことがおすすめです。バックアップの頻度や保管場所を見直し、最新の情報が常に保存されるようにすることが重要です。

バックアップ等から復旧可能であることの定期的な確認

バックアップが確実に復旧可能であることを確認するため、定期的にリカバリーテストを実施します。これにより、実際の復旧作業時に問題が発生しないことを保証し、緊急時に迅速かつ確実なデータ復旧が可能となります。また、テスト結果を文書化し、必要に応じて復旧手順の改善を図ります。このような確認作業を怠ると、いざという時にデータ復旧が困難になるリスクが高まります。

OS、各種コンポーネントのバージョン管理、パッチ適用

システムの脆弱性を悪用する攻撃を防ぐためには、OSやソフトウェアコンポーネントの最新バージョンへの更新・パッチ適用の実施をすることが必要不可欠です。定期的なパッチ適用とバージョン管理により、サイバー攻撃のリスクを大幅に軽減できます。特にゼロデイ攻撃のリスクを軽減するためには、普段から脆弱性関連の情報収集やバージョン更新が求められます。

認証機構の強化（14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など）

認証の強化は、サイバー攻撃から組織を守るための基本的な対策です。単純なパスワードではなく、長く複雑なパスワードにし、さらに多要素認証（MFA）を導入することを推奨します。多要素認証はパスワードに加え、物理トークンや生体認証などの認証要素を用いることで、不正アクセスされるリスクを低減します。これにより、アカウントのセキュリティが飛躍的に向上します。

適切なアクセス制御および監視、ログの取得・分析

システム内の情報やリソースへのアクセスを厳格に管理し、適切なアクセス制御を行うことは、内部からの不正行為を防ぐために重要です。また、システムの稼働状況やアクセスログを定期的に取得し分析することで、異常な挙動を早期に検知できます。

シャドーIT（管理者が許可しない端末やソフトウェア）の有無の確認

シャドーITは、組織のセキュリティポリシーに反する可能性があり、脆弱性やデータ漏洩の原因となることがあります。定期的な監査や従業員への教育を通じて、シャドーITの存在を確認し、適切な対策を講じることが重要です。

攻撃を受けた場合に想定される影響範囲の把握

サイバー攻撃を受けた際に、どのような影響が組織に及ぶかを事前に把握しておくことは重要です。影響範囲を明確にすることで、インシデント発生時の対応計画を具体化し、迅速な対策を講じることが可能になります。システム全体の依存関係や業務の優先度を考慮し、被害を最小限に抑えましょう。

システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認

定期的にシステムのセキュリティ状態を確認し、現在のセキュリティ対策が有効に機能しているかを確認することが効果的です。脆弱性診断やペネトレーションテストを実施することで、システムの弱点を特定し、自組織の状況に適した対応の実施が可能になります。

CSIRTの整備（全社的なインシデントレスポンス体制の構築と維持）

CSIRT（Computer Security Incident Response Team）は、サイバー攻撃やインシデント発生時に迅速かつ適切な対応を行うための専門チームです。CSIRTの整備は、全社的なセキュリティ体制を強化し、インシデント発生時の被害を最小限に抑えるために不可欠です。定期的な訓練とシミュレーションを通じて、CSIRTの対応力を維持し、常に最新の脅威に対応できる体制を整えます。

APIセキュリティのベストプラクティス

OAuthトークン

OAuthトークンは、APIへのアクセスを安全に制御するための認可手段です。ユーザのパスワードを直接共有せず、一時的なトークンでアクセスを許可する仕組みにより、不正アクセスのリスクを軽減します。

暗号化と署名

API通信では、暗号化が重要です。また、署名による送信者の認証をすることも重要です。SSL/TLS（TLS 1.3推奨）での暗号化により、データが送受信される途中で盗聴されないようにします。署名には一般的にRSA暗号やECDSAなどのアルゴリズムが使用され、SHA-256などのハッシュ関数と組み合わせてデータの完全性を保証します。デジタル証明書を使用することで、通信相手の身元確認も可能になり、より強固なセキュリティを実現できます。

レート制限とスロットリング

レート制限とスロットリングは、APIへのリクエスト数を一定範囲に抑え、サーバへの負荷を管理するための手法です。過剰なリクエストをブロックし、DDoS攻撃などのリスクを軽減します。また、正規ユーザの快適な利用を維持し、サービスの安定稼働を支えます。

APIゲートウェイの使用

APIゲートウェイは、API管理を一元化するためのツールです。認証、認可、レート制限、監視など、APIに関連するセキュリティ機能を提供します。これにより、システム全体のAPI運用を最適化します。APIの脆弱性を効果的に軽減することができます。また、監視とログ収集を行うことで、問題発生時の迅速な対応が可能になります。

APIのセキュリティ対策

ここまで見てきたAPIセキュリティ脅威を踏まえると、以下のようなポイントにおいて脆弱でないことが重要と考えられます。

開発中、リリース後、更新時といった、いかなる状況においても、適切な脆弱性管理・対応ができているかどうかが、鍵となります。

APIの開発にあたっては、DevSecOpsを適用して脆弱性を作り込まないようにすること、APIリリース後も、新たな脆弱性が生まれていないか、APIセキュリティ診断などを通じて確認を継続することが重要です。

APIはスマホアプリでも多く活用されています。誰もがスマートフォンを利用している今、攻撃の被害が多くの人々に影響を及ぼす可能性があるからこそ、スマホアプリにおいて次の攻撃につながる情報が漏洩したり、スマホアプリの改竄が行われたりする可能性を摘んでおくことが、スマホアプリを提供するうえで重要となります。スマホアプリのセキュリティ対策の一つとしては、信頼できる第三者機関による脆弱性診断の実施があげられます。第三者の専門家からの診断を受けることで、網羅的な確認ができるため、早急に効率よく対策を実施するのに役立つでしょう。

関連記事：

「攻撃者が狙う重要情報の宝庫！―スマホアプリのセキュリティ―」

まとめ

APIのセキュリティについて、認証と認可は基本となる重要な要素です。現代では従来の境界型セキュリティでは不十分となり、あらゆるアクセスを疑う「ゼロトラスト」モデルが求められています。認証は「誰か」を確認するプロセス、認可は「何を許可するか」を決める仕組みであり、両者の違いを明確に理解しておくことが重要です。

組織の安全を守るには、基本的なセキュリティ対策の実施が不可欠です。具体的には、攻撃メール訓練の実施、バックアップ管理、システムの更新、強固な認証の導入、アクセス制御とログ分析などが推奨されます。また、インシデント対応チーム（CSIRT）の整備により、問題発生時の迅速な対応が可能となります。

APIセキュリティの観点からは、OAuthトークンの導入、通信の暗号化と署名、レート制限やスロットリングでの制限、APIゲートウェイが推奨されます。開発段階からリリース・運用後まで脆弱性管理を徹底し、特にユーザへの影響が大きいと考えられるサービスでは第三者機関によるセキュリティ診断も活用することをおすすめします。

Security Report TOPに戻る
TOP-更新情報に戻る

2024年10月4日2024年10月11日

APIとは何か（1）～基本概念とセキュリティの重要性～

APIは、システム間のデータや機能のやり取りを円滑にするために欠かせない技術です。しかし、その利便性の反面、APIのセキュリティリスクも増大しています。本シリーズでは数回にわけて、APIの本質的な役割から、セキュリティリスクとその対策までを解説していきます。シリーズ第1回目の今回は、APIの基本的な定義から、その仕組みや連携方法、そしてセキュリティ上の課題について学びます。

APIとは

API（Application Programming Interface：アプリケーション・プログラミング・インターフェース）とは、ソフトウェアの機能を他のプログラムでも利用できるようにするための仕組みです。APIは、アプリケーションやサービスが外部のプログラムと情報や機能を共有する際の「インターフェース」として働き、異なるプログラム同士の連携を可能にします。例えば、地図情報を提供するアプリがAPIを利用して他のアプリに地図データを提供することで、ユーザは別のアプリ内でもその機能を活用できるようになります。

APIの仕組み -API連携とは-

ソフトウェアやアプリ、プログラム同士を、APIを介して機能連携させるのが「API連携」です。あるソフトウェアに他のソフトウェアの機能を埋め込むイメージです。API連携によってソフトウェア同士が相互にデータと機能を共有できるようになります。

【APIの活用例】

社内業務システム：チャットAPIを活用してコミュニケーション
会員サービスサイト： SNSアカウント認証APIでログイン
ネットショップ：クレジットカード・認証APIで決済
飲食店サイト：地図情報APIで店舗位置情報表示 × 予約受付APIで予約対応

APIのセキュリティ

APIは異なるソフトウェア間の通信を可能にしますが、同時に攻撃者にとっての格好の標的にもなり得ます。そのため、APIを利用する企業やアプリケーション開発者にとってAPIのセキュリティ対策は重要な課題です。セキュリティリスクは他のプログラムやサービスと機能やデータを共有しているAPI特有の仕組みから生じます。APIが不適切に設計・管理されていると、未認証のアクセス、データ漏洩、機密情報の不正取得といったリスクが高まります。以下は、APIセキュリティに関する主なリスクの例です。

データ漏洩: APIを通じて個人情報や機密情報が漏洩するリスク
不十分な認証:認証要素が不十分なことによる不正アクセスのリスク
サイバー攻撃:標的型攻撃、インジェクション攻撃やDoS攻撃などのサイバー攻撃を受けてしまうリスク
APIキーの窃取: APIキーが盗まれることによる不正利用のリスク

APIのセキュリティはなぜ重要なのか

スマートフォンやIoT端末の普及に伴い、様々なAPIが利用されるようになりました。SNS事業者が提供するAPIサービスやスマートフォン向けのAPIサービスがあるほか、複数のSaaSのAPIを連携させるサービスも登場しており、私たちを取り巻くあらゆるサービスで幅広く提供されています。このため、APIをターゲットにした攻撃も増加しています。
（※APIを悪用した攻撃についてはシリーズ第2回目で解説します。）

APIセキュリティが重要視される理由は、現代社会においてAPIがデータや機能の共有に不可欠な役割を果たしているためです。APIを通じてやり取りされるデータや機能は、悪意のある攻撃者に狙われる可能性があり、適切なセキュリティ対策がなければ、情報漏洩やシステム侵入のリスクが増大します。特に、認証や認可の不備、暗号化の欠如が原因で、機密データが外部に漏れるケースが多く見られます。また、APIは外部に公開されることが多いため、DDoS攻撃やボットによる過負荷のリスクも存在します。したがって、APIの設計段階からセキュリティを考慮し、定期的な監視や脅威の検知を行うことが、システム全体の安全性を保つために不可欠です。

また、企業やアプリケーション開発者にとっては、信頼性と顧客データ保護に直結する重要な要素でもあります。適切なセキュリティ対策を講じることで、データの改ざんや不正アクセスを防ぎ、システムの安全性を確保することができます。

まとめ

（Application Programming Interface：アプリケーション・プログラミング・インターフェース）とは、ソフトウェア間で機能や情報を共有するための仕組みであり、異なるプログラム同士を連携させます。APIは、地図情報の提供やSNSアカウントの認証など、さまざまな用途で活用されており、現代のデジタルサービスには欠かせない存在です。しかし、APIはその便利さの反面、攻撃の標的にもなりやすく、セキュリティの観点から注意が必要です。APIの不適切な設計や管理は、データ漏洩、不正アクセス、サイバー攻撃のリスクを高めます。特に、認証や認可の欠如、適切に暗号化がされていないことなどにより機密情報が漏れる恐れがあります。また、外部に公開されるAPIはDDoS攻撃やボットのターゲットになることもあります。そのため、企業のセキュリティ担当者やアプリケーション開発者はAPIのセキュリティ対策を講じ、定期的な監視や脅威の検知を行うことが不可欠です。これにより、信頼性を維持し、顧客データの保護が可能となります。

Security Report TOPに戻る
TOP-更新情報に戻る

2024年8月1日2024年8月1日

任意のコード実行の危険性！ServiceNowの脆弱性「CVE-2024-5217」について

contents

2024年6月、ServiceNowのNow Platformに重大な脆弱性「CVE-2024-5217」が発見されました。この脆弱性は、入力検証の不備に起因し、認証されていないリモート攻撃者が任意のコードを実行できる可能性があります。影響を受けるバージョンは、Washington DC、Vancouver、およびそれ以前のリリースです。CVSSスコアは9.2で、重要度は「クリティカル（Critical）」と評価されています。

脆弱性の詳細

「CVE-2024-5217」は、入力検証の不備に起因する脆弱性です。これにより、認証されていないリモート攻撃者が任意のコードを実行できる可能性があります。この脆弱性は2024年5月22日にCVEとして割り当てられました。

CVSSスコア：9.2（クリティカル）
CVE割り当て日：2024年5月22日

影響範囲

この脆弱性の影響を受けるバージョンは、Washington DC、Vancouver、およびそれ以前のNow Platformリリースです。認証されていないリモート攻撃者が任意のコードを実行するリスクがあります。特に、政府機関、データセンター、エネルギープロバイダーなどが標的となる可能性があります。

影響を受けるバージョン：Washington DC、Vancouver、およびそれ以前のNow Platformリリース
リスク：任意のコード実行
標的：政府機関、データセンター、エネルギープロバイダー

攻撃の観測

米セキュリティ企業Resecurityによると、「CVE-2024-5217」を悪用した攻撃が観測されています。標的には政府機関、データセンター、エネルギープロバイダー、ソフトウェア開発会社などが含まれます。攻撃者はペイロードインジェクションを利用し、サーバー応答内の特定の結果をチェックした後、第2段階のペイロードでデータベースの内容をチェックします。成功した場合、攻撃者はユーザーリストとアカウント認証情報をダンプします。

攻撃手法：ペイロードインジェクション
攻撃の結果：ユーザーリストとアカウント認証情報のダンプ

修正パッチと対策

ServiceNowは2024年6月のパッチサイクルで「CVE-2024-5217」を修正しました。修正パッチは既にリリースされており、未適用のシステムは早急にアップデートすることが推奨されます。パッチの適用により、任意のコード実行のリスクを軽減できます。

修正の時期：2024年6月
修正パッチのリリース状況：既にリリース済み
推奨事項：システムを早急にアップデート

【関連リンク】

・CISA（サイバーセキュリティインフラセキュリティ庁）
　KnownExploitedVulnerabilitiesCatalog
・ServiceNow ヘルプデスク
・Resecurityブログ記事

サイバーインシデント緊急対応

Security Report TOPに戻る
TOP-更新情報に戻る

2024年7月1日2024年7月1日

クラウドサービスとは
-クラウドサービスのセキュリティ1-

現代のビジネス環境では、利便性や柔軟性などのメリットがある、クラウドサービスの利用が急速に広がっています。クラウドサービスは、インターネットを通じて提供される様々なサービスです。本記事では、クラウドサービスの基本概念から提供形態、さらにクラウドサービスの種類やクラウドサービスを利用することで得られるメリットについて解説します。

クラウドサービスとは

クラウドサービスとは、インターネット環境で提供される様々なサービスのことを指します。利用者は自宅や外出先から、インターネットなどのネットワークを介してクラウドサービスにアクセスします。

クラウドという名称は、ネットワークの模式図上で、インターネットなどの外部ネットワークを雲（Cloud）のような形状で表現していたことに由来しています。ひとつの雲で表されますが、実際には複数のサーバ機器やネットワーク機器で構成され、サーバにはサービスに必要なソフトウェアが導入されています。

従来、コンピュータのハードウェアやソフトウェアは利用者が自ら保有・管理していましたが、クラウドサービスは、物理的なサーバや設備を利用者側で管理する必要がなく、利用者が必要なときに必要な分だけリソースを利用できるため、柔軟性が高く、コスト効率にも優れています。代表的な形態には、ソフトウェアを提供するSaaS、プラットフォームを提供するPaaS、インフラを提供するIaaSの3種類があります。

クラウドサービスの提供形態

クラウドサービスは、パブリッククラウドとプライベートクラウドという提供形態に分かれます。それぞれの特性を理解し、企業のニーズに合ったクラウドサービスを選択することが重要です。

パブリッククラウド

クラウド事業者が同じアプリケーションや環境を利用者に提供し、利用者が共有して使用する形態。初期費用が不要で、運用管理もクラウド事業者に任せることが可能です。パブリッククラウド（クラウド事業者）の内、特に世界的にシェアの高い3大クラウドと言われているのが以下のクラウド事業者です。

・AWS（Amazon Web Service）
　2006年開始の老舗クラウド。圧倒的なサービス種類の豊富さと拡張性の高さを誇る。
・Microsoft Azure
　機能が多く、WindowsやMicrosoft OfficeなどのMicrosoft製品との親和性が高い。
・GCP（Google Cloud Platform）
　Googleがクラウド上で提供するサービス群。GmailやYouTube基盤として実績あり。

プライベートクラウド

企業や組織が自社専用のクラウド環境を構築し、社内やグループ会社に提供する形態。プライベートクラウドにはさらに二つのタイプがあります。

オンプレミス型
自社内でインフラの構築を行い、データセンターで運用します。カスタマイズ性が高いのが特徴です。ITリソースを完全にコントロールできるため、機密性の高いデータを扱う企業に向いています。ただし、初期投資と維持費用が高く、専門のITスタッフが必要です。

ホスティング型
外部のクラウド事業者が社内専用のクラウド環境を提供します。自社での管理負担を軽減しつつ、セキュリティとカスタマイズ性を確保できます。オンプレミス型よりもコスト効率が良く、運用管理はクラウド事業者に依存するため、企業のリソースを他の業務に集中できます。

クラウドサービスの主な種類

企業や組織で多く使われるクラウドサービスには、主に3つの種類があります。

IaaS(Infrastructure as a Service)

IaaSは「Infrastructure as a Service」の略で、利用者が選択したスペックやOSに合わせた、仮想的なマシン（インフラ）を提供します。利用者側で必要なアプリケーションをさらにインストールするなどして、用途に合わせてカスタマイズできます。AWS、Microsoft Azure、Google Compute Engineなどが代表的なサービスの例です。

PaaS(Platform as a Service)

PaaSは「Platform as a Service」の略称で、IaaSが提供する仮想マシンに加え、上位のミドルウェアを含め提供するプラットフォームです。PaaSは開発者にインフラの管理をせずにアプリケーションの構築、テスト、デプロイ、管理を行える環境を提供します。これにより、開発者はインフラの複雑な設定やメンテナンスから解放され、開発に集中できます。AWSのElastic Beanstalk、Google App Engine、Microsoft AzureのApp Servicesなどが代表的なサービスの例です。

SaaS(Software as a Service)

SaaSは「Software as a Service」の略で、クラウド上でソフトウェアを提供するサービスです。ユーザはソフトウェアをインストールする必要がなく、インターネットを介してアクセスするだけで利用できます。SaaSの利点は、どこからでもアクセスできること、常に最新のソフトウェアを利用できること、そしてメンテナンスやアップデートがプロバイダーによって管理されることです。Google Workspace、Microsoft Office 365、Salesforce、Dropbox、Zoomなどが代表的なサービスの例です。SaaSは手軽さとコスト効率の高さから、企業で幅広く利用されています。

クラウドサービスの特徴

クラウドサービスには5つの特徴があります。

柔軟なリソース管理：システムの拡張・縮小が迅速に行えます。必要なときに必要なリソースを追加・削減することが可能です。

オンデマンド・セルフサービス：ユーザ自身でWeb画面からシステム設定ができ、必要なサービスやリソースを自由に変更できます。

リソースの共有：複数のユーザが同じリソースを共有することで、コストの最適化が図れます。

従量課金制：サービス利用量を常に計測し、使った分だけ支払う仕組みで、コストを抑えることができます。

場所を問わないアクセス：インターネットさえあれば、どこからでもアクセスでき、リモートワークや外出先での利用が可能です。

クラウドサービス利用のメリット

企業や組織などでクラウドサービスの利用が飛躍的に進んだ主な理由には、以下のような効果があることが挙げられます。これらはパブリッククラウド上でクラウドサービスを提供する側からみた恩恵ですが、結果的に、利用するユーザ側のメリットにもつながります。

※主要なパブリッククラウド事業者を利用した場合の標準的なメリットであり、利用するサービスや契約内容により異なる場合があります。

まとめ

クラウドサービスは、インターネットを介して提供される様々なサービスの総称です。利用者は自宅や外出先から、インターネットなどのネットワークを介してクラウドサービスにアクセスします。クラウドという名称は、ネットワークの模式図で外部ネットワークを雲のように描いたことに由来します。

従来のコンピュータハードウェアやソフトウェアは利用者が自ら管理していましたが、クラウドサービスでは物理的なサーバや設備を管理する必要がなく、必要な時に必要な分だけリソースを利用できるため、柔軟性が高く、コスト効率にも優れています。代表的な形態には、ソフトウェアを提供するSaaS、プラットフォームを提供するPaaS、インフラを提供するIaaSの3種類があります。

クラウドサービスの提供形態は、パブリッククラウドとプライベートクラウドに分かれます。パブリッククラウドは、クラウド事業者が提供する共用のクラウド環境で、初期費用が不要で運用管理を任せることができます。主要なパブリッククラウド事業者には、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)があります。プライベートクラウドは、企業や組織が自社専用のクラウド環境を構築し、オンプレミス型とホスティング型の2タイプがあります。

クラウドサービスの利用は、迅速性・柔軟性、コスト抑制、高い利便性、高い可用性などのメリットがあり、これらが利用するユーザ側の利便性向上につながっています。

Security Report TOPに戻る
TOP-更新情報に戻る