覚えておきたいクラウド&データのキホン（第2回） クラウドへのデータ保存は安全なのか？情報セキュリティ対策はどうすればよい？

　クラウドは、私たちの仕事や暮らしの中で欠かせないツールとなりつつあります。しかし、データをクラウド上のサーバーにアップすることに不安を感じる人がいるかもしれません。

　今回はクラウドにおける情報セキュリティ対策と、クラウドを安全に利用する方法を解説します。

クラウドの安全性と情報セキュリティ対策

リモートワークでビジネス利用が拡大
　クラウドは、インターネットを通じてITサービスをユーザーに提供する仕組みです。例えば、クラウド上にデータを保管することで、好きなときにデータを取り出したり確認したりできます。クラウドコンピューティングと呼ばれることもありますが、一般的には同義です。

　クラウドが登場したことで、ビジネスのスタイルも大きく変わりました。例えばメールはOutlookなどのメールソフトをPCにインストールして送受信を行い、やり取りしたデータはPCに保存していました。しかし、現在はIDやパスワードを持っていれば、ChromeやEdge、Safariなどのブラウザーを通じて、PCやスマートフォン、タブレットなどさまざまな端末からアクセスができます。

　ビジネスでのクラウド利用は、働き方改革やリモートワークの拡大に伴って急速に広まっています。メールやファイル共有などですでに活用している人も多いでしょう。

クラウドの安全性と情報セキュリティ
　クラウドはインターネットを通じて、自社のデータをやり取りします。データの消失や情報漏えいといったリスクは、かねて指摘されてきました。

　昨今、GoogleやAmazon、Microsoftといった法人向けのクラウドを提供している企業は、情報セキュリティ対策機能を備えたクラウドを提供しています。　クラウドサービスのメリットのひとつに、「情報セキュリティ対策の水準向上」が挙げられます。前述のGoogleやAmazon、Microsoftのように多くのクラウドサービスは一定水準の情報セキュリティ対策機能を有しているほか、オプションでより高度な情報セキュリティ対策機能が選択できるものもあります。

　そのため多くのシステムはオンプレミスで情報セキュリティ対策機能を個別に構築するよりも、新たな情報セキュリティ対策機能を積極的に取り入れるクラウドサービスを利用したほうが、規模の経済からも効率的な情報セキュリティ向上が期待できるのです。そのような背景から、、日本政府のシステム調達でもクラウドを第一候補として検討する「クラウド・バイ・デフォルト」が宣言されるなど、クラウドへの信頼度は高まってきています。

　そういった中で、クラウドを利用する企業が懸念すべきは情報流出などをさせてしまうリスクです。例えば、クラウドにアクセスするためのIDやパスワード、保存されたデータ管理などは、利用企業側の責任となり得ます。仮にIDやパスワードが流出し、不正アクセスや情報漏えいなどを招いた場合、利用企業側が大きな責任を負う可能性があり、事業存続に関わる事態ともなりかねません。

クラウド利用時の5つの情報セキュリティ対策

　クラウドを利用する際に、利用企業側がとるべき情報セキュリティ対策として、主に以下の5つがあります。

通信データを暗号化する
　クラウドのサービス事業者が堅固な情報セキュリティ対策を行ったとしても、自社サーバーとクラウドとの通信の際にサイバー攻撃を受けることがあります。そのため、自社とクラウド間の通信はVPN（Virtual Private Network）などでデータを暗号化する必要があります。

　VPNは、仮想の専用線を用いてデータを送受信するため、第三者から攻撃を受けにくくなります。VPNを使うことで、安全にデータの保存やダウンロードを行うことが可能となり、情報漏えいのリスクが抑えられます。

ユーザー認証を強固にする
　クラウドにアクセスする際のユーザー認証を強固にすることも、情報セキュリティ対策として効果的な方法です。 具体的には、クラウドにアクセスできるユーザーを限定したり、第三者が本人になりすまして利用したりするのを防ぐことが挙げられます。クラウドを利用する従業員それぞれにアカウントを用意することで、各ユーザーの利用履歴が確認でき、問題が起こった際の責任の所在も明確化できます。

　加えて、認証のためのパスワードを複雑にすることも求められます。他のサービスで使用している「パスワードの使いまわし」や「推測しやすいパスワード」の使用は避けるよう、自社内の情報セキュリティポリシーを定めるべきです。2段階認証の導入などでセキュリティレベルを高めることも有効です。

アプリケーションやOSの脆弱性を解消する
　クラウド自体に問題はなくても、従業員が使用しているPCのOSやアプリケーションの脆弱性が原因で、情報漏えいが発生する恐れがあります。端末にインストールされているOSやアプリケーションを最新の状態に更新しておく必要があります。

データの保管場所を明確にする
　クラウドを利用する場合は、データの保管ルールと場所を決めておくことが重要です。その際、分散して保管をすることで、不正アクセスをされたときなどのデータ消失リスクを抑えられます。ジャンルに分けてフォルダを作成しておけば、情報セキュリティ対策とともに作業効率の向上にもなります。

データのバックアップを取る
　たとえクラウドを利用していても、重要なデータのバックアップは定期的に取っておくべきです。バックアップを取ることで、クラウドのサーバーや通信に障害が発生したり、クラウド事業者がサービスを停止したりしたときでも、バックアップしたデータを使って事業を継続することができます。

クラウドサービス利用時に注意したいこと

不正アクセスによるデータ流出
　IDやパスワードを知っていればアクセスできるクラウドでは、悪意ある第三者からの「不正アクセス」にも留意する必要があります。従業員の異動や退職で不要なIDが残っていないか、機密データへのアクセス権限が適切に設定されているかなどを一元管理することで、ガバナンスや内部不正、外部からの不正アクセスの防止につながります。

誤操作などによるデータ消失
　クラウドでは複数のユーザーがデータにアクセスし、共同で編集することがあります。その際、操作に不慣れな従業員などによってデータを誤削除したり、設定を変えてしまったりする可能性もあります。

　複数のユーザーでデータにアクセスする場合のルールを明確にするとともに、データのバックアップを取っておくことも重要です。クラウドサービスの中にはデータの復元機能が用意されている場合もあり、そうした機能を活用するのもよいでしょう。

第三者からの攻撃
　システムが常にインターネットと接続することになるクラウドでは、サイバー攻撃に対する十分な対策が必要です。

　例えば、「DDoS（ディードス）」攻撃は、対象のネットワークや Web システムに大量のアクセスを行うことで高い負荷を与え、利用できない状態にするサイバー攻撃の一種です。DDoSの被害に遭うとデータ自体は無事でも、システムがダウンし一時的に利用できなくなる可能性があります。

　「総当たり攻撃」とも呼ばれる「ブルート・フォース・アタック」は、IDやパスワードを解読するために、予想される文字列を1文字ずつ変更しながら「総当たり」で入力し、ログインを試みる攻撃手法です。不正にログインされると、サーバー内に入り込まれ、データが破壊されたり持ち出されたりする可能性があります。

　DDoS対策としては、WAF（Web Application Firewall）などの対策ツールを導入する方法が考えられます。またブルート・フォース・アタックであれば、たとえばSMSを使った2段階認証を利用したり、パスワードの入力回数を制限することで、対応できることがあります。

まとめ

　インターネットを通じて自社データのやり取りをするクラウド利用において、情報セキュリティ対策は不可欠です。とはいえ、クラウドセキュリティへの信頼度は高まってきており、企業はその多くの部分をクラウドに「おまかせ」し、ポイントを絞った対策をすれば安心してデータを預けられるようにもなっています。リモートワークの推進やコスト削減、業務の効率化を図りたい企業は、積極的にクラウド活用を検討すべきでしょう。

　安全性の高いクラウドを利用したい人には、NTT西日本の「おまかせクラウドストレージ」をおすすめします。クラウド上で保管される全データが暗号化されるなど高い機密性を保持しているほか、自動ウイルスチェック機能も用意。ファイルを更新した際に自動で履歴を保存するバージョン管理機能もあるので、ファイルを誤って上書きしたり、ランサムウエア感染時にファイルを復元したりする際にも便利です。
※バージョン管理機能：ファイルを上書き保存すると、1つ前のファイルが「バージョンファイル」として保管されます。保管期間は7日間で、バージョンファイルとして保管されてから7日経過すると自動的に削除されます

【おまかせクラウドストレージについて】

・おまかせクラウドストレージのご契約には、NTT西日本が提供する「フレッツ光 ネクスト」、「フレッツ光 クロス」、「フレッツ光 ライト」、もしくは光コラボレーション事業者が提供するFTTHアクセスサービスいずれかのご契約が必要です

・ご利用には、「フレッツ光」などのブロードバンド回線およびプロバイダーサービスのご契約が必要です

※掲載している情報は、記事執筆時点のものです