クラウドサーバのセキュリティ｜事業者選定と企業が取るべき対策

クラウドサーバのセキュリティにおける課題

クラウドサーバのセキュリティにおける課題として、以下が挙げられます。

外部からの不正アクセス、情報漏えいのリスク

クラウドサーバはインターネットを通じて利用するため、常にサイバー攻撃の脅威にさらされています。特に、クラウドサーバ上の脆弱性を突いた攻撃は後を絶ちません。不正アクセスによる情報漏えいや改ざんを防ぐためには、サービス提供者側でのセキュリティ対策はもちろん、利用企業側でもアクセス制御や暗号化などの対策を多層的に講じる必要があります。

クラウドサービス事業者に関するリスク

クラウドサーバを利用するうえで、「クラウドサービス事業者の信頼性」は重要です。もし事業者のセキュリティ管理や運用体制に不備がある場合、不正アクセスや事業者の人為的ミスにより、情報漏えいなどが発生する恐れがあります。

こうしたリスクを最小限に抑えるには、サービス事業者の選定が重要です。事業者の対応体制やセキュリティ関連の認証取得状況、サービス提供実績などを入念にチェックし、信頼できる事業者を見極める必要があります。

クラウドサービス事業者を選定する際の確認ポイント

クラウドサーバのセキュリティにおける課題を踏まえた、クラウドサービス事業者を選定する際の確認ポイントは以下のとおりです。

事業者やデータセンターの所在地

クラウドサービス事業者の所在国の法制度によって、データ保護のレベルは大きく異なります。たとえば、米国企業が提供するクラウドサービスでは「クラウド・アクト」と呼ばれる法律により、米国の法執行機関からのデータ開示要求に応じる必要があります。この法律は、クラウドサービス事業者の本拠地が米国にある場合に適用されます。たとえデータが米国外のサーバに保管されていても、米国の法執行機関からの要求に応じてデータを開示しなければならないのです。

さらに、データが保管されているデータセンターの所在地も重要なポイントです。一般的なクラウドサービスでは、データセンターの正確な所在地は公開されていないことが多いですが、自社設備としてデータセンターを保有する事業者では、「日本国内の自社設備でクラウドサービスを展開している」などと部分的な情報を公開している場合もあります。BCP対策の観点からも、データ保管場所を確認しておくことをおすすめします。

セキュリティ対策の内容

クラウドサービス事業者の講じる、セキュリティ対策の具体的な内容を確認することも重要です。たとえば、専門スタッフによる24時間365日の監視体制の有無や、通信の暗号化レベルなど、セキュリティ対策が充実しているか詳しくチェックしましょう。加えて、インシデント発生時の対応体制や、事業継続計画（BCP）の整備状況なども確認が必要です。万が一の事態に対する備えが十分かどうか、しっかり見極める必要があります。

ISMSなどのセキュリティ関連認証の取得状況

セキュリティ関連の認証取得の状況は、クラウドサービス事業者の適切なセキュリティ対策の実施を裏付ける重要な指標となります。認証のなかでも「ISMS」は、情報セキュリティマネジメントシステムに関する国際規格「ISO/IEC 27001」に基づく認証です。組織の情報セキュリティ管理体制が、一定の基準を満たしていることを示します。

また、それに紐づく「ISO/IEC 27017」は、クラウドサービス特有の情報セキュリティ管理策を定めた規格です。クラウドサービス提供者と利用者双方に求められる管理策を規定しており、クラウドセキュリティの国際的な指標といえるでしょう。これらの認証を取得している事業者は、第三者機関の審査をクリアするレベルで、セキュリティ管理体制の整備や運用に取り組んでいると判断できます。

クラウドサービス事業者との契約内容の確認

クラウドサービスの利用を開始する前には、事業者との契約内容を入念に確認してください。特に、データの所有権や機密保持、サービス終了時のデータ返還などについて、自社に不利益となる条項がないかのチェックが必要です。また、サービス稼働率や障害対応の基準なども確認しておくべき事項です。事業者の提供内容と自社の要求事項に、認識齟齬がないことを確かめましょう。

クラウド利用企業が取るべきセキュリティ対策のポイント

クラウドサーバの利用時には、事業者側だけでなく利用する企業側でも、以下のようなセキュリティ対策を講じることが重要です。

認証の強化とアクセス権限の管理の徹底

クラウドサーバを利用するうえで、適切な認証とアクセス権限の管理の徹底が欠かせません。認証の強化策として「多要素認証の導入」が有効です。仮にIDとパスワードが漏えいしても、不正アクセスのリスクを大幅に低減できます。また、シングルサインオンの導入により、利用者の利便性を損なわずに高度な認証を実現することも可能です。

アクセス権限の管理については、利用者の役割に応じて必要最小限の権限を付与し、特に機密情報へのアクセス権限は必要不可欠な人員に限定しましょう。多くのクラウドサービスはアクセス管理の機能を提供しているため、それらを活用することできめ細かい管理を行うことが可能です。また、定期的な権限の棚卸しと、不要となった権限の速やかな削除も欠かせません。社外からのアクセスにはVPNの利用を必須にするなど、厳格なルールを定めることが重要です。また、アクセスログの定期的なモニタリングにより、不審なアクセスの兆候を早期に検知する体制も整えましょう。

サーバのOSやソフトウェアの更新

IaaSを利用する場合、クラウドサービス事業者がハードウェアや設備などのITインフラレイヤーを管理してくれますが、サーバのOSやソフトウェアの更新はユーザーの責任で対応する必要があり、これらは常に最新の状態に保つことが重要です。既知の脆弱性を放置することは、重大なセキュリティの弱点を作り出すことにつながるため、OSやソフトウェアのセキュリティパッチが公開された際は、速やかに適用するようにしましょう。また、利用ソフトウェアのサポート期間にも注意が必要です。サポートが終了したソフトウェアは、脆弱性が発見されてもパッチが提供されず、セキュリティ上の大きな問題となるので注意しましょう。

高度なセキュリティサービスの有効活用

クラウドサービス事業者の多くは、不正アクセスの検知や防御、マルウェア対策、DDoS攻撃対策など、高度な脅威に対抗するためのセキュリティサービスを提供しています。個別企業では導入が難しい最新のセキュリティ技術を、クラウドを活用することで速やかに導入できます。

また、クラウドサービス事業者の中には、セキュリティ対策の技術的支援やガイドラインの策定などをサポートしているところもあり、それらの活用も有効です。

まとめ

クラウドサーバを安全に利用するには、外部の脅威や情報漏えいのリスク、事業者の信頼性など、多岐にわたる視点からのセキュリティ対策が欠かせません。

クラウドサービス事業者の選定においては、セキュリティ対策がしっかりした事業者を選定することが重要です。選定の際には、セキュリティ関連認証の取得状況も、重要な判断材料となります。また、日本の法令に基づいたデータの取り扱いが保証され、安心してサービスを利用したい場合は、自社データセンターを持つ日本国内の事業者が提供する国産クラウドを選択すると良いでしょう。

さらにクラウド利用企業においては、提供されているセキュリティ機能などを活用し、セキュリティ対策のとれたサーバ環境の構築・運用を行うことが必要です。 セキュリティ対策の技術的支援や運用支援を行っているパートナーもあり、それらの活用を検討することもおすすめします。

オプテージでは、日本国内の自社データセンターで提供している「ユーティリティ クラウド」「オプテージ コネクティビティ クラウド・ストレージ（OCCS）」をはじめ、高度なセキュリティサービスを備えた「AWS for OPTAGE」「Azure for OPTAGE」といったさまざまなクラウドサービスをご用意しています。お客さまのセキュリティ要件にあわせて最適なクラウドサービスのご提案が可能です。

クラウドサーバは、今や企業活動の重要インフラです。事業者の信頼性を見極めつつ、利用企業側でもあらゆる角度からセキュリティ対策を講じることが欠かせません。セキュリティと利便性を兼ね備えたクラウドサービスを検討中のお客さまは、ぜひオプテージのサービスをご検討ください。お客さまの安全かつ安心なクラウド活用を、オプテージがしっかりとサポートいたします。

◎製品名、会社名等は、各社の商標または登録商標です。