テレワークに最適なクラウドストレージ活用、ただしセキュリティ対策は忘れずに。

PPAPを廃止して、クラウドストレージを採用する企業が増えている

コロナ禍を経てテレワークが日常化した昨今、ビジネスにおける意思疎通や情報共有の大半は、インターネットを介して行われるようになった。これまで、中核ツールとして電子メールが利用されてきたが、内閣府が暗号化されたファイルとパスワードをメール送信する「PPAP」の廃止を宣言し、国内企業の間で追随する動きが加速した。代わりに急伸しているのが、ネット上の保管庫サービス「クラウドストレージ」である。

その一方で、クラウドやインターネット上に機密情報やファイルを保管することに不安を持ち、いまだにPPAPを利用し続けている企業は多い。そこで今回は、クラウドストレージ活用のメリットと、こうしたクラウドサービスを利用するにあたって留意しておきたいセキュリティ対策をまとめてみた――。

国内企業の間で進む、PPAP廃止の流れを決定づけたのは、2020年11月の平井卓也デジタル改革相（当時）による、内閣府でのPPAP廃止宣言であった。政府が公式に、「PPAPはセキュリティ対策として無意味」との判断を下したのだ。

なぜならPPAPは、ネット上で入手できる暗号解読ソフトで容易に突破できるだけでなく、暗号化されているためウイルススキャンが機能せず、添付されたマルウエアの侵入を許してしまうことがあるからだ。実際、世界中に拡散し猛威を振るったマルウエア「エモテット」は、こうしたパスワード付きZIPファイルによるメールが感染源となった。セキュリティ対策の専門家の間では、もはやPPAPは「百害あって一利なし」という判定が下されているのだ。
では、社員や取引先との情報やファイルの共有はどうすればよいのか――。その最適解として、企業の間で急速に普及しているのがクラウドストレージである。

データ保管はオンプレミスからクラウドストレージの時代に

IT機器の世界で「ストレージ」と言えば、コンピュータなどのデータを保管しておくための補助記憶装置（HDDやDVD、CD等）を意味する。これらのストレージは企業で言えば、ファイルサーバやNAS（Network Attached Storage）のようなオンプレミスの物理的記憶装置だが、基本的には社内の従業員が使うことを前提とした閉域網で構築されている。
ところが、コロナ禍以後の急速なテレワークの普及に伴い、社外の従業員がストレスなくアクセスできるオープンな保管庫が必要になった。そこで近年、クラウドストレージを利用する企業が急速に増えているのだ。

現在ではGoogle、Microsoft、Appleなどが提供する、一定容量を無料で使えるクラウドストレージが、PCやモバイル端末などのユーザーの間で日常的に利用されている。そして、企業の間でもクラウドサービスは着実に普及し、メールによるファイル送信・共有を廃止して、法人向けクラウドストレージへと移行することが潮流となっている。

国内企業を対象にした調査でも、クラウドストレージを採用する企業は、着実に増加を続けている。総務省の「令和2年 通信利用動向調査報告書（企業編）」では、活用しているクラウドサービスのトップに「ファイル保管・データ共有」のストレージサービスが位置しており、2018年から約3％ずつ利用率を伸ばしている。また、「社内情報共有・ポータル」「データバックアップ」といった項目も上位に位置しており、クラウドストレージの利用が企業の間でも着実に浸透していることが見て取れる。その一方で2位の「電子メール」が利用率を落としており、セキュリティ面の不安からメールの万能感が薄れ始めていることがわかる。

（図1）具体的に利用しているクラウドサービスの推移

※出典：「令和2年 通信利用動向調査報告書（企業編）」（総務省）を加工して作成

また、一般社団法人 日本情報システム・ユーザー協会（JUAS）の「企業IT動向調査報告書 2021」によると、テレワークのために「社内外からアクセスできるクラウドストレージを用意している」と答えた企業における従業員の利用率は、2019年では47.1％だったのに対し、2020年には58％に上昇している。近年のテレワークの普及も、企業におけるクラウドストレージ利用の増加に影響を与えていることがわかる。

（図2）国内企業クラウドストレージ利用率の推移

※出典：「企業IT動向調査報告書 2021（一般社団法人 日本情報システム・ユーザー協会＜JUAS＞）」を加工して作成

クラウドストレージの基本機能

それでは、クラウドストレージにはどんな機能があるのだろうか。活用メリットとともに見ていきたい。

クラウドストレージの基本機能は大きく3つに分けられる。

◎データの保管と自動バックアップ機能
クラウドストレージは、社内の大容量データを一元的に保管できるだけでなく、ほとんどのサービスが、自動でデータをバックアップする機能を持っているため、万一に備えることができる。バックアップの頻度は、毎時・日・週など自由に設定でき、ストレージ容量は必要な分だけ契約すればよいので合理的。企業の情報システム担当者の大きな負担になっている、社内IT資産の管理・運用・保守が軽減され業務効率化につながる。

◎ファイル転送サービス
画像や映像などの大容量ファイルは、圧縮してもプロバイダーの許容範囲外となりメールで送信できないこともあるが、クラウドストレージなら簡単に送付でき、どこからでもアクセスが可能。アップロードしたファイルのURLを相手に通知すれば、受信者は好きな時にダウンロードができ、モバイル端末でも閲覧ができるのは大きなメリットといえる。
また、IDやパスワードなど、ファイルへのアクセス権限は送信者が細かく設定でき、通信はSSL（Secure Socket Layer）で暗号化されているので、経路上の盗聴対策も厳重。クラウドサービス企業が、マルウエアの検出機能など常に最新のセキュリティ対策を講じているので、自社でサーバを保有するより安全性は高いといえる。転送ファイルそのものも、ダウンロード期限が設定でき、メールサーバにいつまでも残ってしまうようなリスクもない。PPAPの弱点は、これで解消される。

◎ファイル共有
テレワークで多人数のスタッフと共同作業をする際に便利なのが、このファイル共有機能だ。ストレージ内の共有フォルダに保管されたファイルを、アクセス権限を与えられた人であれば、同時にアクセス・閲覧・編集加工ができる。
メールによるファイル共有でありがちな、送受信するファイルの末尾に日付やバージョン番号などを付記する必要があり、それでも納期間近に頻繁にファイルの更新が行われたりすると、どれが最新のファイルなのかわからなくなる――といったトラブルや非効率もクラウドストレージで一元管理をすれば、作業効率が劇的に向上する。

また、ファイルは変更履歴が自動で保存され、面倒なファイル名の更新は不要。納期間近でメールの送受信にかかるタイムロスさえ惜しい時に、強い味方となる。テキスト原稿の校閲作業をオンラインで行うサービスもあるので、編集ワークが多い企業にはうってつけだ。
社内に設置されたファイルサーバへのアクセスと違い、クラウド上にあるファイルは、社内外を問わず、ネット環境さえあればストレスなくアクセスができる。まさに、テレワーク時代に欠かせないビジネスサポートツールといえる。

クラウドサービス利用の常態化で浮上してきた2つの課題

このようにテレワークとクラウドサービスの利用が日常化してくると、多くの企業の間で、WAN回線の逼迫による通信遅延、クラウド利用の隙をついたサイバー攻撃の脅威といった新たな悩みが浮上してくる。
なぜなら、いくらクラウドファーストの時代になっても、オンプレミスによる基幹システムは企業本体内に必ず一定レベルで残り続けるからだ。そのため大半の企業は、VPNなどの閉域網を社内に維持し続けている。しかし、閉域網とクラウドサービスを同時に多人数で利用すると、トラフィックやセッションの集中で、データセンターでのリソース逼迫やトラフィック輻輳などの問題が起こるようになる。
一方では、テレワーク時に社員がダイレクトにクラウド利用することで、ウイルスやマルウエアなどのサイバー攻撃に狙われやすくなるというリスクもある。コロナ禍以後、サイバー攻撃の手口は巧妙化し、ますます激化しており、テレワーカーを踏み台にしてシステムに侵入するインシデントは後をたたない。

このような、テレワークが常態化した企業が抱える2つの課題――「通信環境の改善」と「セキュリティ体制の強化」を一挙に解決する最適なソリューションとして、昨今急速に普及しているのがゼロトラストネットワークだ。「ゼロトラスト」とは、ユーザーがインターネット接続を行うたびに、毎回認証することでサイバー攻撃などの脅威を防ぐセキュリティ対策の概念。ファイアウォールやVPNの内か外かに関係なく、全てのトラフィックを対象としてチェックする点が「ゼロトラスト（全て信頼しない）」の所以である。

（図3）ゼロトラストネットワーク例

まず、トラフィックの増大による回線の逼迫、通信遅延に対する解決策としては、「ローカルブレイクアウト（Local Break Out：LBO）」の導入が挙げられる。LBOは、本社のVPNやデータセンターを通さず、支社・営業所などの各拠点から直接インターネットにアクセスするネットワーク構成のことである。
ソフトウエアで通信環境を最適化する「SD-WAN（Software Defined-Wide Area Network）」の仕組みにより通信内容を識別し、登録されているクラウドサービスであれば直接インターネット回線へ、それ以外は従来のVPN回線へとトラフィックを振り分けることで、VPNやデータセンターへのトラフィックの一極集中を回避でき、通信速度の低下が起こりにくくなる。

クラウド時代のセキュリティ、ゼロトラストの考え方も

一方、テレワーク時などの社外からのクラウドサービス利用に際しては、VPNとプロキシサーバを通らないので、悪意あるトラフィックやWebサイト、ウイルス、マルウエアなどの脅威に無防備にさらされることになり、セキュリティインシデントの対象となりやすい。その対策として、クラウドサービス企業が提供しているのが、クラウド型のプロキシサービス「SWG（Secure Web Gateway）」だ。

SWGには、データセンターのプロキシサーバに搭載されているURLフィルタリング機能をはじめとする種々のセキュリティ機能が搭載されており、テレワークなど社外からのインターネット接続でも通信の安全性を確保してくれる。SWGには、「URLフィルタリング機能」の他に、無許可アプリケーションの使用をブロックしてマルウエア感染や情報漏洩リスクを軽減する「アプリケーションフィルタ機能」、ウイルスの検知・駆除を行う「アンチウイルス機能」、コンピュータ上に仮想環境のサンドボックスを構築して、マルウエアや不正プログラムによるシステム侵害を最小化する「サンドボックス機能」――などが備わっている。テレワーカーをインターネット上の悪意から保護してくれる、クラウドユーザー必携のサービスといえる。

クラウドサービスをテレワークで利用することが主体になると、社内のオンプレミス環境で機能させることを前提とした「Active Directory」では、ID認証が万全といえなくなってくる。そこで、クラウドサービス企業が提供しているのが、ゼロトラストソリューションのひとつ、「IDaaS（Identity as a Service）」である。
「IDaaS」は、IDやパスワードなどのアカウント認証情報を一元的に管理するクラウド型のサービス。ユーザーは、IDaaSに一度ログイン（「シングルサインオン」）すれば、事前に登録・連携しているクラウドサービスを全て使えるようになる。ログイン時の利便性向上だけでなく、セキュリティリスクを軽減する機能も備わっている。

ログインしようとしているユーザーが許可されている本人かどうかを確認し、アクセス可能な状態にする「ID認証」、登録された端末や場所などで制御を行い、許可されていないユーザーや社外からのアクセスを拒否する「アクセスコントロール」、システム管理者がIDaaSの利用状況を管理画面から確認できる「ログ管理機能」などで、セキュアなクラウド利用環境が維持できる。

幾重にもわたるセキュリティ対策をしていても、インターネットに接続している限り、サイバー攻撃の脅威がなくなることはない。サイバー攻撃は起こりうることを前提に、セキュリティ対策の最後の砦として確保しておきたいのが、「EDR（Endpoint Detection and Response）」である。
PCやサーバなどを保護するエンドポイントセキュリティには、EPP（Endpoint Protection Platform）とEDR（Endpoint Detection and Response）の2つのタイプがある。EPPは「マルウエアによる攻撃を水際で防ぐ」ことを目的としているのに対し、EDRは「エンドポイント（端末）で脅威を検知（Detection）して、迅速な対応（Response）をサポート」することを目的としている。

EDRが普及している背景には、端末のOS自体を乗っ取って攻撃を行う「非マルウエア攻撃」が増えたことが挙げられる。例えば、Windows OSのPowerShellを乗っ取れば、攻撃者はエンドポイントを完璧に掌握できる。こうした攻撃は、マルウエアのような不正ソフトが使われないので、マルウエアによる攻撃を水際で防ぐEPPでは防ぎようがない。そのために、実際に攻撃を受けた段階で迅速に対処し、被害の拡大を防ぐEDRの重要性が高まっているのである。
EDRでは、VPNなど組織内のネットワークに接続されている端末（エンドポイント）から常時ログデータを収集して解析サーバで自動解析し、万一脅威となる不審な挙動やサイバー攻撃を検知した場合は管理者に通知を行う。管理者は管理画面で、テレワーク中の端末に対し遠隔操作で攻撃遮断などの対処を行い、被害の拡大を防ぐ。テレワーク中の端末を常時監視し、万一の場合に即時救助活動を行う、レスキュー隊のような「エンドポイント・ソリューション」といえる。

テレワークの拡大にともない、社員が企業の内や外でハイブリッドに業務を行うようになると、企業のICT環境もその変化に適応する進化が求められる。クラウドサービス利用と社内での閉域網運用を両立させつつ、万全のセキュリティ体制を維持するのなら、ゼロトラストの考え方でシステムの再構築を行うのもひとつの選択肢だろう。

◎製品名、会社名等は、各社の商標または登録商標です。