クラウドセキュリティとは？
リスクと対策、オンプレミスとの違いを解説

「クラウドサービスはオンプレミスに比べてセキュリティが弱い」というイメージを持っている人は少なくありません。しかし、クラウド事業者は安全性を高めるためのさまざまな対策を施しており、ユーザーが正しい知識を持って利用することで、より安全に運用することが可能です。本記事では、クラウドを利用するリスクと対策方法、オンプレミスとの違いを解説します。クラウドセキュリティに関する正しい知識を身に付けることで、自社にクラウドが適しているか判断する際の役に立つでしょう。

クラウドサービスの選び方については、こちらでも詳しくご紹介しています。

クラウドセキュリティとは

クラウドセキュリティとは、クラウド環境におけるリスクへのセキュリティ対策です。クラウドサービスの普及により、クラウドセキュリティの重要度も高まっています。
特にこの数年は、新型感染症蔓延の影響からクラウドサービスを活用したテレワークを導入する企業が増えました。テレワークでは社外のネットワークを利用するため、情報漏えいリスクが必然的に高まります。そこで、クラウド環境に適したセキュリティ対策が必要となるのです。
内部での情報管理や外部からのサイバー攻撃だけではなく、災害が発生した場合の対策もクラウドセキュリティに含まれます。クラウドセキュリティを強化することで、システムを安全かつ安定的に運用できます。

クラウド環境におけるセキュリティリスクと対策

クラウド環境で懸念される主なリスクは以下の8つです。リスクごとの対策を紹介します。

• インフラ
• 仮想化基盤
• サービス基盤
• 統合管理環境
• データ管理
• データ分類
• ID管理
• 人員

インフラ

インフラにおいては、データの外部流出や不正アクセスによる情報漏えいのリスクが高くなります。システム・ネットワークへのアクセス権限を与える社員は極力少なくして厳しく管理することで、データが外部へ流出するリスクを減らしましょう。
不正アクセスによる情報漏えいへの対策は、暗号通信や証明書の活用などの措置が有効です。ネットワーク機器の物理的な保護、データセンターへの入退室管理なども行い、内部からの不正アクセスにも備えましょう。

仮想化基盤

仮想化基盤におけるリスクは、障害対応の不備やサービス停止です。サービス停止が長引くと、業務に大きな支障をきたす可能性があります。
そこでクラウドサービスを監視し、システムに障害が発生したらすぐに対応できる体制を整えましょう。万が一のときにもシステムをすぐに復旧できるよう、障害が発生した際の対応をマニュアル化し、システム構築のテンプレートを作っておくことも対策になります。データ消失に備えて、定期的にデータを他のデータセンターなどへバックアップしておくことも必要です。

サービス基盤

サービス基盤の主なリスクは、単一障害点となる要素に対する攻撃です。システムを安定稼働させるために、サーバーやネットワーク、システムを冗長化しましょう。仮想化基盤と同じく、障害発生時に備えてマニュアルやサービスの構成図を用意しておき、すぐに復旧できるようにすることも重要です。単一障害点を明確にし、極力少なくする、またはなくすことも根本的な対策になります。

統合管理環境

統合管理環境におけるリスクは、すべてのリソースに攻撃者が不正にアクセスできるかもしれない、ということです。不正侵入検知システムの導入、監視体制の強化、適切な認証方法の設定などで不正アクセスを防止することができます。従業員等が使用する運用管理端末ではファイルのウイルスチェックを行い、許可されていないプログラムをインストールしないように指導しましょう。
攻撃者は外部だけではなく内部にもいる可能性があります。適切なアクセス管理を実施すれば、内部からの不正アクセスを防ぐことができるでしょう。

データ管理

データ管理においては、内部関係者の故意やミスによる情報漏えい、データの消失、ウイルス感染、不正アクセスのセキュリティリスクが考えられます。
内部関係者のミスによる情報漏えいやデータの消失への対策は、データ管理についての社内ルールの作成が有効です。内部関係者の故意による情報漏えいやウイルス感染、不正アクセスは、パスワードやアクセス権限を適切に設定することで防ぎます。セキュリティソフトでのウイルス対策も有効です。

データ分類

データを適切に分類することは、クラウドセキュリティにおいて重要なことです。データの分類が正しくできていないと、適切なレベルでの保護ができず情報漏えいや不正アクセスを引き起こすリスクがあるためです。
まずは、データを重要性や気密性に基づいて分類し、分類したデータごとに管理責任者を設定します。次に重要性に応じたセキュリティ対策とアクセス権を設定し、データ利用の許容範囲に関する規則を作成しましょう。全社員に対して規則に従って行動するよう教育すれば、より安全性を高めることができるでしょう。

ID管理

ID管理に関してのセキュリティリスクには、ネットワークからのサイバー攻撃とユーザー認証連携のトラブルがあります。IDやパスワードがサイバー攻撃によって不正に取得・利用されたり、ユーザー認証連携のトラブルによって複数のサービスへ一斉にログインできなくなったりする可能性が考えられます。これらのリスクは、多要素認証や二段階認証、認証パスワードの厳格な管理でセキュリティを強化することで防げるでしょう。また、新規ユーザーの登録や権限の変更の際には適切な利用権限を設定し、退職者のID情報は速やかに削除しましょう。

人員

人員に関するセキュリティリスクは、クラウドサービスへの理解・知識が足りていない社員によって、情報漏えいやウイルス感染が起こることです。すべての社員に対してセキュリティ教育を実施しましょう。
また、社員を雇用する際には情報セキュリティに関する基本的な方針や責任を説明し、同意のうえで雇用契約を締結します。雇用の終了時には支給したソフトウェアやアクセスカードなどの備品をすべて返却してもらい、付与したアクセス権を速やかに削除する必要があります。

クラウドとオンプレミスのセキュリティを比較

クラウドサービスではさまざまなセキュリティ対策がなされていますが、クラウドに踏み切れない企業も多いでしょう。そこで、オンプレミスとクラウドのセキュリティについて、障害発生時の対応、災害時のリスク、コストの面から比較してみましょう。

障害発生時の対応

サーバーやネットワークなどの基盤に障害が発生した場合、クラウドサービスでは事業者が対処します。データやIDなどのトラブルに関しては、ユーザー側の責任範囲です。オンプレミスは自社でサーバーの調達や構築、運用・保守も行うため、障害発生時の対応もすべて自社で行います。

災害時のリスク

地震や火災などの災害も、サーバーに影響を与えるリスクのひとつです。クラウド事業者のサーバーと周辺機器は、データセンターで管理されています。データセンターは建物が堅牢で、電源やネットワークも冗長化しているため、災害によってサーバーが停止するリスクは低いです。オンプレミスではオフィスでの管理になり、厳しい安全水準をクリアしたデータセンターに比べると、安全面では劣る場合が多いでしょう。

セキュリティ管理にかかるコスト

クラウドは初期費用がかからないサービスが多く、サーバーの管理費用も不要です。毎月のコストは利用するサービスによって異なります。オンプレミスは初期費用と管理費用、専門知識がある社員を雇用するための人件費も必要となります。

プライベートクラウドおよびオンプレミスの詳細については「プライベートクラウドとは？メリット・デメリットと導入のポイント」、「オンプレミスとクラウドの違いとは？メリット・デメリットと移行の流れをチェック」をご参照ください。

また、データセンターについては「データセンターとは？5つのメリットと失敗しない選び方を徹底解説」をご覧ください。

「クラウド＝セキュリティが脆弱」ではない

クラウドはセキュリティが弱いというイメージを持たれがちですが、実際には事業者ごとにさまざまなセキュリティ対策が施されています。また、ユーザー自身で、よりセキュリティ対策を強固にすることが可能です。そのためにはクラウドのセキュリティリスクを把握し、適切に対処しましょう。
STNetでは、STクラウドサーバーサービス[FLEXタイプ]を提供しています。国内最高水準のセキュリティレベルを誇るデータセンター「Powerico（パワリコ）」で運用しているため、安心してご利用いただけます。また、パブリッククラウドとインターネットと分離されたネットワークで接続できる「ST-WANダイレクトコネクト(クラウド接続)」を利用すれば、AWSやGoogle Cloudのようなサービスも安全かつ安定的に運用可能です。