覚えておきたいクラウド&データのキホン（第30回） クラウドストレージの情報セキュリティ対策と想定されるリスク

　クラウドストレージとは、一般的にクラウド上のストレージにデータを保管するサービスのことを指します。インターネット経由で接続するため、社内外を問わずに利用できるなど数多くのメリットはありますが、その一方で情報漏えいなどのリスクも存在します。この記事では、クラウドストレージの特徴やメリット・デメリット、クラウドストレージを利用するにあたって必要な情報セキュリティ対策について解説します。

目次
・自社サーバーと比較したクラウドストレージの特徴
・クラウドストレージのリスクとは
・クラウドストレージの情報セキュリティ対策
・情報セキュリティ対策が充実したクラウドストレージ選びに迷ったら
・まとめ

自社サーバーと比較したクラウドストレージの特徴

　クラウドストレージとは、業務で使用するデータを、社内のファイルサーバー（以下、自社サーバー）ではなく、クラウド上のストレージ（倉庫）に格納するサービスのことです。まずはクラウドストレージを使うメリットについて、自社サーバーと比較して解説します。

どこからでもアクセスできる
　クラウドストレージは、インターネットに接続できる環境であれば、自宅や出張先など、さまざまな場所からアクセスできます。パソコンだけでなく、スマートフォン・タブレット端末などからも、インターネット接続ができるデバイスであれば利用可能です。例えばテレワークをする際も、クラウドストレージを利用すれば、社内のデータを持ち出すことなく、社外であっても社内にいる場合と同じように仕事を進められます。

　その一方で社内サーバーは、基本的には社内からのアクセスを想定したものです。VPNなどの回線を利用しない限り、社外からはアクセスできません。

社外の人とファイル共有できる
　社内サーバーを介して、複数の従業員がデータの共有や編集を行うと、1つのデータが複数の別データとして保存されるおそれがあります。このような事態を防ぐため、社内サーバーでは、1人の従業員がデータを編集している間は、他の従業員が同時に編集できない場合があります。

　クラウドストレージであれば、1つのデータを複数の従業員と共有し、編集できるサービスが用意されていることがあるため、効率的な作業が可能になります。データの保管場所のURLやパスワードを伝えれば、社外の人と共同編集・ファイル共有も可能です。

自動的にバックアップできる
　クラウドストレージサービスの中には、自動バックアップ機能や履歴管理機能が備わっているものもあります。これらの機能を利用すれば、データを誤って消した場合、データを前のバージョンに戻したい場合にも復元可能です。社内サーバーでもバックアップを取ることは可能ですが、バックアップシステムの構築・運用は自社で行う必要があります。

コスト低減が期待できる
　社内サーバーは、ハードディスクなど機器の購入やシステム構築が必要となり、サーバー設置後も情報セキュリティ対策やメンテナンスが欠かせません。そのため、初期コスト・運用コストは高くなりがちです。

　クラウドストレージの場合、サーバーの購入・設置は不要であり、利用料金以外の初期コストは基本的に不要です。そのため、社内サーバー構築よりもコストを安価に抑えられる傾向があります。トラブル対応やメンテナンスも、基本的にはサービス提供事業者が行うため、運用コストも抑えられるでしょう。

クラウドストレージのリスクとは

　このようにクラウドストレージにはさまざまなメリットがありますが、場合によってはデメリットが生じる場合があります。

データを消失する可能性がある
　自動バックアップ機能が搭載されたクラウドストレージを利用している場合でも、データ消失のリスクは皆無ではありません。例えば、クラウドストレージのサーバーが停止していたり、システム・ネットワーク障害が生じたりした場合には、保管しているデータにアクセスできなくなります。さらにデータを保管するサーバーが設置されている場所に災害・事故などが生じた場合、データが完全に消失する恐れがあります。

機密情報を外部漏えいする可能性がある
　万が一クラウドストレージサービスの提供事業者がサイバー攻撃の標的となり、クラウドストレージにアップロードしていたデータが盗まれた場合、氏名や年齢、住所をはじめとする個人情報や顧客情報、機密情報などが漏えいすることになります。結果的に、企業としての信用が失墜し、賠償問題にも発展しかねません。

アカウント情報を漏えいする可能性がある
　クラウドストレージの利用には、一般的にID・パスワードなどのアカウント情報が必要です。つまり、アカウント情報を知っている人なら誰でもログインでき、データにアクセスすることが可能です。自社が不正アクセスの被害に遭った場合、アカウント情報が漏えいし、悪意のある人物がクラウドストレージにアクセスする恐れがあります。

クラウドストレージの情報セキュリティ対策

　クラウドストレージを利用するにあたり、どのようにして自社のデータ・情報を守れば良いのか、情報セキュリティ対策について解説します。

アカウント情報を管理する
　まずはアカウント情報の管理を徹底することが重要です。ID・パスワードを使い回したり、メモ書きをして放置したりといったずさんな管理は控えるべきでしょう。

　アカウント情報の具体的な管理方法としては、以下のようなものが挙げられます。

・第三者から推測されにくいパスワードにする
・ID・パスワードを使い回さない
・人目に触れる場所にID・パスワードのメモを置かない
・2段階認証の導入

　パスワードは、数字の繰り返しや名前などの単純なものではなく、英数字を組み合わせた複雑なものに設定するのがポイントです。さらに、ID・パスワードに加え、SMSや音声通話などでも認証を行う2段階認証の導入も有効でしょう。

データのバックアップ体制を整える
　データを保護・保持するために、データのバックアップ体制の整備は不可欠です。バックアップを取る際の考え方として、「321ルール」というものが存在します。

・3：3つのデータをもつ（オリジナルのデータ、2つのバックアップデータ）
・2：2つの異なる媒体でバックアップを取る
・1：1つのバックアップは別の場所で保管しておく

　これはあくまでも考え方の1つであり、321ルールを実施すれば情報セキュリティ対策が万全というわけではありません。しかし、データを複数の媒体に保存し、保管場所も分散するなどの対策を取ることでリスクは低減できます。例えば、自社のサーバーが故障した場合は、クラウドストレージのバックアップを活用します。そして、本社があるエリアで災害が起きた場合には、支店に保管してあるバックアップを使う、といったことで、不測の事態にも対応できるでしょう。

情報セキュリティ対策が充実しているクラウドストレージを導入する
　現在、多数のクラウドストレージサービスが提供されていますが、情報セキュリティ対策は各サービスで異なります。そのため、情報セキュリティサービスが充実したクラウドストレージを選ぶことが重要です。導入の際は、以下の項目について、どのような対策が敷かれているかを確認すべきでしょう。

・外部脅威（サイバー攻撃、不正アクセス、災害、サーバー障害）
・内部脅威（不正操作、操作・設定ミスなど）
・データ消失

　データの暗号化や2段階認証・多要素認証、アクセスログの管理・ウイルス感染対策を搭載しているサービスならば、外部脅威による被害を抑えられるでしょう。さらに、従業員の不正操作やデータ持ち出しへの対策として、アクセス権限設定ができるかどうかも重要な要素です。これらの項目を精査したうえで、自社の情報セキュリティポリシーと一致しているサービスを選ぶべきでしょう。

情報セキュリティ対策が充実したクラウドストレージ選びに迷ったら

　「情報セキュリティ対策が充実したクラウドストレージが重要なことはわかったが、どのサービスを選ぶべきか迷う」という方は、NTT西日本の「おまかせクラウドストレージ」を選択肢に入れるのも1つの手です。同サービスであれば多要素認証に対応しているほか、SSL/TLS暗号化によるHTTPS通信やファイル更新時の自動バックアップ機能などが用意されています。ファイル共有機能も充実していたりと、安心で利便性に富んだクラウドストレージサービスといえます。

※おまかせクラウドストレージのご契約には、NTT西日本が提供する「フレッツ光」等の契約が、最低1契約必要です

まとめ

　インターネット接続すればどこからでも利用できるクラウドストレージは、自社サーバーよりも低コストで導入でき、社外の人とのファイル共有が可能です。データ消失のおそれや情報漏えいのリスクもありますが、情報セキュリティ対策が充実したサービスを選ぶことで、そのリスクが抑えられます。

※掲載している情報は、記事執筆時点のものです