クラウドが普及し、インターネット上にデータを管理する機会が増えた今、企業の資産はクラウドセキュリティに委ねられていると言っても過言ではありません。
今回は、クラウドサービスを利用する方向けに、クラウドの利用者が行うべきクラウドセキュリティ対策について解説します。導入前に確認しておくべきクラウドセキュリティ対策や、クラウド事業者と利用者のセキュリティ対策の分担についても解説しているので、最後までご覧ください。

中小企業の情報システム運用の実情

クラウドセキュリティとは、クラウド環境のリスクや脆弱性に対するセキュリティのことです。
クラウドが普及する前までは、業務に必要なリソースはオンプレミス環境で扱っていました。
しかし、オンプレミス環境からクラウド環境に移行することで、従来通りのセキュリティでは対応できない範囲が出てきたため、クラウド環境特有のセキュリティ対策が求められています。

クラウドセキュリティの重要性

クラウドを利用する上で、セキュリティに対する関心を低下させてはいけません。
クラウド上にデータを保管することは、場所や時間を問わずにデータへアクセスできます。クラウド環境は、データの不正利用や外部への情報開示、脆弱性による情報漏洩などがオンプレミス環境よりも発生しやすいと言えます。
今では、クラウドを導入する企業も増えているため、セキュリティへの関心が相対的に低くなっています。
「他社も使っているから大丈夫」と考えずに、定期的に社員への講習や情報漏洩の事例などを共有し、セキュリティに対する関心を高めることが重要です。

クラウド導入前に確認しておくべきクラウドセキュリティ対策

クラウドを導入する際、料金やプラン、利用可能人数、容量などのカタログスペックだけで判断する方も少なくありません。
クラウドには事業者が行うべき主要なセキュリティ対策があるため、カタログスペックだけでなく、契約内容などから充分なセキュリティ対策を行っていることを確認することが重要です。

より詳細な情報が知りたい方は経済産業省が提供しているクラウドセキュリティガイドラインを参考にすることもおすすめです。

利用者が行うべきクラウドセキュリティ対策

クラウド導入後はサービスやベンダーにセキュリティを任せるのではなく、自社での運用・管理方法も見直す必要があります。特に重要な、利用者が必ず実施すべきクラウドセキュリティ対策を3つ解説します。

資産やデータの管理

クラウドを利用する場合、社員や企業などの特定の個人情報から、業務用のデータなど様々なデータをクラウド上で扱います。これらのデータを安全に活用するためには、データ毎に重要度をつけ、重要度の高いものには高レベルの権限を付与するなどの対策がおすすめです。例えば、顧客リストは課長や部長のみが編集でき、社内資料はマネージャー職以上が編集権限を持つなど、必要最低限の範囲で権限を付与します。
この方法は、PマークやISO認証などの第三者認証を取得する場合にも効果的です。

IDや権限の管理

クラウドサービスには、ベンダーが提供している他のサービスも使える場合がほとんどです。
メールやチャット、ファイルの共有など利用できるサービスは多岐に渡ります。資産やデータの管理と同様に、サービス毎のIDや権限を制御することで、より強固なセキュリティ対策に繋がります。

セキュアなアプリケーションの構築

クラウドを提供しているベンダーがどれほど強固なセキュリティ対策を行っていても、アプリケーションに脆弱性が存在する限り、アプリケーション上のデータは常に危機に直面しています。
脆弱性が発見され次第すぐに対策を始めるなど、セキュアなアプリケーションを維持することが重要です。
必要に応じて、外部機関による脆弱性診斷やペネトレーションテストを行うことも検討しましょう。

上記の方法以外に、クラウドセキュリティ製品を導入することもおすすめします。
クラウドセキュリティ製品の紹介はこちら

サービスモデル毎の事業者と利用者のセキュリティ分担

クラウドにはSaaSやIaaS、PaaSのサービスモデルがあり、モデル毎に事業者と利用者のセキュリティ分担が異なります。
それぞれのモデルの分担範囲について解説します。

SaaS

SaaSは、インターネット上にサービスを提供している仕組みを指します。主にSalesforceやOffice 365などが該当します。
SaaSのセキュリティ対策は、原則としてクラウド事業者が担当しますが、データやコンテンツ、ログイン認証やアクセス管理のセキュリティ対策は利用者が行います。

IaaS

IaaSは、仮想サーバやファイアウォールなどのインフラがインターネット上に提供されている仕組みです。主にAWSが該当します。開発を行う上で最低限の環境を提供しているだけなので、利用者がデータやコンテンツ、アプリケーション、ミドルウェア、OSなど、幅広いセキュリティ対策を行う必要があります。

PaaS

PaaSは、開発に必要なプラットフォームをインターネット上に提供するサービスを指します。主にMicrosoft AzureやSalesforce Platformが該当します。
原則として、事業者と利用者で分割してセキュリティ対策を行い、データやコンテンツ、アプリケーションに関係するセキュリティ対策は利用者が担当します。

まとめ

今回は、クラウドサービスを利用する方向けに、クラウドの利用者が行うべきクラウドセキュリティ対策について解説しました。クラウドサービスを安心して活用するためにも、クラウドセキュリティ対策は導入前でも導入後でも変わらず実施していく必要があります。

▼業務効率化やDX推進に関するお困りごとを解消！