強い会社の着眼点（第27回） そのクラウドサービス、本当に安全?

　現在、多くの企業にとってクラウドサービスの利用はもはや「当たり前」の存在になりつつある。例えば、コンピューター基盤などのインフラ(IaaS)や、開発環境やミドルウエアなどのプラットフォーム(PaaS)、業務アプリやオフィスツールなどのソフトウエア(SaaS)。これらを、いつでも必要な時に必要な分だけ利用できる利便性や柔軟性、経済性が支持されている。しかし、クラウドサービスは手軽に利用できる一方で、悪意のある第三者による不正アクセスなどのリスクもある。今回は、改めてクラウドサービスの安全性をいかに担保するかを考えていきたい。

AI活用などのテクノロジーで加速するクラウドシフト

　自社でシステムを構築・運用するオンプレミスの場合、コンピューター基盤の選定・調達をはじめ、システム設計・構築・保守・運用まで自社で賄わなければならない。豊富なIT人材のいる企業や、ミッションクリティカルな基幹系システムなどの自社運用を求められる企業を別にすれば、情報技術の進化が続く現在、オンプレミスのシステム運用はハードルが高く、クラウドに移行するクラウドシフトが加速している。

　こうした背景から、カスタマイズやデータ連携の必要なシステムはオンプレミスで構築・運用していても、汎用的な文章作成や表計算、メール、オンラインストレージ、Web会議などのアプリケーションはクラウドサービスを利用するという企業も多いはずだ。また、最新技術の進化が企業のクラウドシフトを促している。例えば、生成AIのビジネス利用が急速に広がっているが、生成AIのシステム基盤を自社で構築・運用するのは人材面だけでなく技術面でも至難の業だ。業務のAI活用に応じて最新のリソースを必要なだけ利用できるクラウドサービスのほうが理にかなっている。

使い勝手や運用体制に留意してサービスを選定

　クラウドサービスと一口に言っても、多種多様なサービスが事業者から提供されている。どのサービス、どの事業者を選べばいいのか迷うこともあるだろう。業務アプリのクラウドサービスの場合には、操作性も選定のポイントになる。例えば、オンプレミスの顧客管理システムからクラウドサービスに移行する場合には、同一事業者のサービスを利用することでユーザーは使い慣れた操作性で業務が行える可能性がある。

　また、クラウドサービスはシステムの運用・管理を含めて事業者に任せられることが特徴だが、業務に関わる情報を自社の目が届かない事業者に委ねるという面も存在する。このため、事業者側の問題により、情報が流出したり、サービスが停止したりするリスクも忘れてはいけない。そこで、万一の問題発生に備え、事業者とユーザー企業側の責任範囲を明確にしておくことが重要だ。これらが明確でない事業者のサービスは利用を回避するなどの判断も必要だ。加えて、サービスの運用・監視体制やユーザー側からの問い合わせに対応するサポート体制、サービス品質や障害時の回復目標時間などを定めるSLAは整っているかなど、事前に確認するといいだろう。

サービス利用者の範囲を決めて不正利用を防ぐ

　クラウドサービスを利用する上で、セキュリティを懸念する企業もあるだろう。業務に関わる重要情報や顧客情報などをクラウド事業者に預けることになるからだ。クラウドサービスの選定では、事業者のセキュリティ対策として、暗号通信やファイアウォール、侵入検知、ウイルス対策、サーバーの脆弱性対策などがなされているかどうかを確認する。

　クラウドサービスのセキュリティに関わる認証制度を受けているかどうかも参考になる。例えば、政府情報システムのためのセキュリティ評価制度「ISMAP」は、政府が求めるセキュリティ要求を満たすクラウドサービスを評価・登録する制度だ。政府機関のみならず、民間企業もISMAPに登録されたクラウドサービスを選択することで、一定のセキュリティレベルを確保できる。

　さらに、クラウドサービスを利用する社員の範囲を決めておくこともポイントになる。例えば、顧客管理アプリの利用者は販売部門に限るなどの制限を設けることで顧客情報の不正利用を抑止したり、いつ、だれが、どのアプリを利用したかなどの操作ログを記録したりすることで問題発生時の原因究明にも役立てられる。

クラウドへ安全にアクセスできるサービスを活用

　クラウドサービスへのアクセス回線として一般的にインターネットが使われる。リモートワークや外出先からインターネットを介してクラウドストレージに保管しているファイルを閲覧するなど便利な使い方が可能だが、ファイルのアップロードやダウンロード時にデータが悪意のある第三者に盗み見されたり、不正利用されたりするリスクがある。顧客・取引先の情報を扱う顧客管理や、従業員の個人情報を扱う労務管理といった業務アプリのクラウドサービスの利用時など安全性に留意する必要がある。

　クラウドサービスのセキュアなアクセスに役立つのがVPN(仮想閉域網)だ。インターネットVPNは、企業の拠点に設置したVPN装置やパソコンのVPNソフトウエアからインターネット上に設けた仮想的な閉域網を経由してクラウドサービス側に接続する。VPNでは通信内容(IPパケット)が暗号化され、データの盗聴や改ざんなどの防止が可能だ。インターネットVPNはクラウドサービスの利用だけでなく、テレワーク、リモートワーク時の社内システムなどへの安全な接続方法としておなじみだ。

　自社で導入・運用するインターネットVPNの他に、事業者のIPネットワーク上に閉域網を設けるIP-VPNなどがある。クラウドサービスへのアクセスは、事業者がデータセンターなどに設けるVPNゲートウェイ経由で、クラウド事業者が提供する閉域網を利用したり、各拠点からインターネットVPNで接続したりする方法がある。

　インターネットVPNを利用するにはVPN装置(VPNルーター)の導入が必要になる。VPN装置の脆弱性がサイバー攻撃を受けるリスクもあるので、すでにインターネットVPNを導入している企業も最新ソフトウエアの更新などが必要だ。ネットワークに知見のある人材がいないという企業は、アクセス回線とVPNの導入・運用を専門家に任せられるマネージドVPNサービスなども提供されている。重要情報を扱うビジネス利用では安全性を考慮してVPN接続を検討したい。

　他には、外出時などWi-Fiからクラウドサービスに接続する場合も気を付ける必要がある。フリーWi-Fiだと悪意のある第三者に盗み見られるリスクがあるため、セキュリティがしっかりしているWi-Fiを利用するなど、セキュリティに留意しよう。

※掲載している情報は、記事執筆時点のものです