クラウドサービスで利用者が行うべきセキュリティ対策は？

クラウドサービスの充実に伴い、企業におけるクラウドサービスの利用はすでに一般化しているといえるでしょう。情報漏洩や不正アクセスなどの被害を避けるためには、どのような点に注意してクラウドサービスを利用すればよいのでしょうか。これまでのPCアプリケーションと比較して、注意すべきポイントはどこにあるのでしょうか。この記事では、企業においてクラウドサービスを利用する際に注意すべきセキュリティ対策について解説します。

クラウドサービスとPCアプリケーションのセキュリティリスクの違いは

そもそも、クラウドサービスとPCにインストールして利用する従来型のPCアプリケーションとでは、どのようなセキュリティリスクの違いがあるのでしょうか。ここでは、クラウドサービスの特徴とそのセキュリティリスクについて解説します。

クラウドサービスの特徴

クラウドサービスは、PCアプリケーションと比較して以下のような特徴があります。

• システム内がブラックボックス化されている
• 任意の場所・環境からアクセスできる
• PCへのインストールが不要である

それでは、これらの特徴からどのようなセキュリティリスクが考えられるのでしょうか。

クラウドサービスにおけるセキュリティリスク

PCアプリケーションでは、システムで利用するデータは自身のPCや設置したサーバ内に保存されます。一方で、クラウドサービスではシステム内がブラックボックス化されており、利用者からは自分のデータがどこで、どのように管理されているのか確認することができません。クラウドサービスはサーバ等が不要であり手軽に利用できることがメリットですが、一方で事業者に会社の機密情報データを不正に利用されるというリスクがあります。

また、クラウドサービスは任意の場所・環境からアクセスできるため、セキュリティ対策がされていない従業員の自己所有PCや、ネットカフェ等の共有PCからもアクセスができてしまいます。テレワークが浸透しつつある現代においては、場所を問わず業務が遂行できるというメリットは大きいですが、一方でクラウドサービスの不適切な利用は情報漏洩リスクを高めます。

さらに、PCへのインストールが不要であることから、PCアプリケーションと比較してクラウドサービスの導入はスムーズに行うことができます。しかし一方で、そのメリットは従業員が利用しているシステムを把握できなくなる、いわゆる「野良システム」の増加につながります。PCアプリケーションであれば管理者権限により従業員に利用させるソフトウェアを制限できますが、クラウドサービスは従業員が自由にアカウントを作成して利用できてしまうため、会社側の把握が困難になってしまうのです。

クラウドサービス利用において必要となるセキュリティ対策とは

それでは、クラウドサービスのメリットを生かしつつ、安全に利用するためにはどのようにセキュリティ対策を行えばよいのでしょうか。ここでは、クラウドサービスの特性に合わせて、利用者側が考慮すべきセキュリティ対策のポイントについて紹介します。

信頼のおける事業者が提供するサービスを選定する

クラウドサービス事業者側の不正リスクを避けるため、クラウドサービスを利用する際には信頼できる事業者を選択することが最大のポイントとなります。

それでは、どのように信頼できる事業者を選べばよいのでしょうか。一つは、クラウドに関する認証を受けているかで判断する方法があります。例えば、クラウドサービス向けの国際規格であるISO/IEC 27017を取得している事業者であれば、信頼できる可能性は高まります。

また、事業者の経営状況や導入実績についても重要な情報となります。クラウドサービスはPCアプリケーションと比較して事業終了リスクが高いため、企業の財務諸表を確認したり、導入実績を把握することで事業継続性をチェックすることが大切です。

社内のルール整備を行う

クラウドサービスの手軽に導入できるというメリットは、そのまま野放図に導入・利用が行われてしまうというデメリットにつながります。会社のセキュリティルールを確認し、クラウドサービスに関するルールが存在しなければ、クラウドサービスの導入の前に必要なルール整備を行いましょう。

検討すべきルール例としては、以下があげられます。

• クラウドサービスを利用するPC端末の制限
• クラウドサービスの利用申請・許可
• パスワード設定ポリシー
  
  
クラウドサービスは任意の場所・環境からアクセスできますが、セキュリティの低いPCからの利用は情報漏洩リスクが高まるため、扱う情報の重要性と利便性を考慮しながら制限を行うとよいでしょう。また、従業員がクラウドサービスを利用する際には申請を行ってもらうなど、会社としてクラウドサービスの利用状況を把握できるようなルール設定を行うべきです。パスワードについては、パスワードの強度はもちろんクラウドサービスが2段階認証などの強固な認証方法を提供している場合は利用を義務づけるといったルール設定を行うとよいでしょう。

社内教育を行いセキュリティ意識を持つ

クラウドサービスの利用にあたっては、従業員にセキュリティ意識を持ってもらうことも重要です。セキュリティ意識を持ってもらうためには、社内教育が重要となります。

一般社団法人日本プライバシー認証機構(JPAC)が2018年に行った調査では、個人情報漏洩の原因の78.5%は、誤操作や紛失などの人為的なミスによるものでした。また、残りの割合の中にも、脆弱なパスワードを設定していたことによる不正アクセスなどが含まれており、情報漏洩の大部分はセキュリティ意識の低さに原因があるといえます。

セキュリティ事故を防ぐためにも、社内ルールの整備とともに、従業員に対してルールの周知や研修・教育を行うことをおすすめします。

まとめ

この記事では、クラウドサービスの利用にあたって行うべきセキュリティ対策について紹介しました。クラウドサービスは、いまや多くの会社で一般的に利用されていますが、適切なセキュリティ対策を行わなければセキュリティ事故発生のリスクも高まります。クラウドサービス導入とセキュリティ対策はセットで考えることが大切です。