クラウドサービスは、テレワークなどの多様な働き方の普及とともに多くの企業に導入されるようになり、近年では国内企業の7割以上がクラウドサービスを活用していると言われています。場所や時間を問わず利用できるなど利便性が高いクラウドサービスですが、その一方でクラウドサービスの脆弱性を狙ったサイバー攻撃による不正アクセスや情報漏えいなどの被害が増加しています。また、ここ数年、クラウドサービスを利用する事業者間においてもクラウドサービスの設定ミスに起因する個人情報流出インシデントが増加しています。
クラウドサービスを安全に利用するためには、クラウドセキュリティのリスクを正確に把握し、強固なセキュリティ対策を講じる必要があります。
今回はクラウドセキュリティのリスクと被害事例、安全に利用する上で注意すべきポイントと対策について徹底解説します。
まず、クラウドセキュリティとその重要性について解説します。
クラウドセキュリティとは、インターネットなどのネットワークを通じてサーバーやソフトウェアといったサービスを利用するクラウド環境で生じる不正アクセスの防止やデータ保護を目的に行うセキュリティ対策のことです。
クラウドサービスは、サーバーや周辺機器の設置が不要で「導入コストが抑えられる」・ネットワークを通じて社内外問わずに「簡単にデータ共有できる」など、さまざまなメリットがあるため、多くの企業に利用されています。
その一方、外部からアクセスできるようになったことで、悪意ある第三者に不正アクセスされる・情報が窃取される・システムが乗っ取られるなどのリスクが高くなりました。
そのため、クラウドサービスを安全に利用できる環境を構築する上でクラウドのセキュリティ対策は不可欠です。
クラウドサービスやサービス提供者によってセキュリティレベルは異なりますが、どんなにセキュリティレベルが高くても外部からの攻撃を100%防ぐことは難しいと言われています。
次に、クラウドサービスの利用に伴い、起こりうるセキュリティリスクについて解説します。
不正アクセスとは、アクセス権限のない第三者が不正にIDやパスワードを入手し、システムやサーバーに侵入する攻撃方法です。
クラウドサービスのログイン画面はインターネット上で公開されているため、マルウェア感染・適切でないデータ管理・内部不正などによりログイン情報が流出すると簡単に不正アクセスされる可能性があります。
また、不正アクセスにより、機密情報の窃取やその他のシステムへ攻撃する踏み台にされる危険性もあります。
< 不正ログインに関する記事はこちら >
サイバー攻撃とは、第三者がネットワークを通じてサーバーやパソコンなどのデバイスを狙って金銭や機密情報を盗む・システムの停止や破壊・データを改ざんするなどを目的として行う攻撃のことです。攻撃手段には、*DDoS攻撃・マルウェア感染・標的型攻撃・*ブルートフォース攻撃など、さまざまな種類があります。
万が一、サイバー攻撃に遭った場合、システムやネットワークが停止するなど業務停止に追い込まれる恐れがあります。
*DDos攻撃
複数のデバイスから攻撃対象のサーバーに大量のパケットを一斉送信し、サーバーダウンさせることでシステムを利用できなくさせる攻撃方法のことです。
*ブルートフォース攻撃
理論的に考えられるパスワードのパターンをすべて組み合わせて試す攻撃方法のことで、総当たり攻撃とも呼ばれています。
クラウドサービスは、システムやサーバーの障害・不正アクセス、社内でのヒューマンエラーといったさまざまな原因により、クラウドサービスに保存しているデータが消失するリスクがあります。
そのため、万が一のトラブルに備えて定期的にバックアップを取得しておくことが重要です。
シャドーITとは、私物で利用しているデバイスやクラウドサービスを企業の管理部門の許可なく業務で利用・導入することです。近年では業務効率の向上などを理由に、複数人と気軽にファイル共有できる無料のクラウドサービスが利用されるケースが増加しています。
しかし、管理部門が把握していないデバイスやクラウドサービスはセキュリティ対策が行われていないため、脆弱性が生まれやすく攻撃を受けるリスクが高いです。
情報漏えいとは、顧客情報や機密情報などの重要な情報が外部に流出することです。万が一、サイバー攻撃や不正アクセスによって情報が流出した場合、企業の信頼を失墜させる恐れがあるだけでなく、場合によっては法律で罰せられる・賠償問題に発展する可能性もあります。
次に、国内企業で発生したクラウドサービスの被害事例について解説します。
某IT企業では、2023年12月にクラウドサービスで管理していた個人情報約96万件を含むファイルが情報漏えいする危険性のある公開状態であったことを発表しました。
利用していたクラウドサービス「Google ドライブ」内で管理されていたファイルのアクセス権限が「ファイルのリンクを知っている全員がインターネット上で閲覧できる」設定になっていたことが原因でした。なお、対象ファイルの中には顧客・取引先・従業員などの個人情報(氏名・メールアドレス・端末識別番号等)が含まれていました。
某大手企業では、2022年12月にクラウドサービスで管理していたデータに不正アクセスされ、最大約148万件の個人情報が流出した可能性があることを発表しました。
利用していたクラウドサービス「Experience Cloud」に保管されていたデータのアクセス権限が「ゲストユーザーも閲覧できる」設定になっていたことが原因でした。
某大手企業では、2019年6月にクラウドサービス「Office 365(Microsoft 365)」で管理していたデータに不正アクセスされ、採用応募者・従業員・関係会社の退職者など計8122件の個人情報と機密情報が流出した可能性があることを発表しました。
詳細な情報は発表されていませんが、中国にある子会社がサイバー攻撃を受けて窃取されたアカウント情報を悪用して不正アクセスされた可能性や、コロナ禍により在宅勤務が急増したことでVPNサーバーの容量がオーバーし、VPNを経由せずにOffice365にアクセスできる状態だったことなどが原因になった可能性が考えられます。
次に、経済産業省が公表しているクラウドセキュリティガイドラインの基本方針をもとに、クラウドサービスやクラウドサービス提供者を選定するうえで重要なポイントについて解説します。
クラウドセキュリティガイドラインとは、経済産業省が公表している「クラウドサービス利用における情報セキュリティマネジメントガイドライン」の通称のことで、クラウドサービスの利用・提供における適切な設定のためのガイドラインを指します。
このガイドラインは、クラウドサービスの利用者と提供者が協力してセキュリティ対策することを目的に作成され、安全安心にクラウドサービスを利用・提供できるようクラウドサービスの利用者と提供者がそれぞれ設定不備を起こさないよう講じるべき具体的な対策について記載されています。
(参照元:経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」)
クラウドサービス・サービス提供者を選定するうえでクラウドサービスを導入する目的や必要な機能を明確にし、自社に合ったサービスや提供者を選定することが重要です。その上で、選定時に確認すべき重要なポイントについてご紹介します。
【 アクセス権限を管理ができる 】
クラウドサービスにアクセス制限を管理する機能が備わっていない場合、IDやパスワードといったログイン情報のみで簡単にアクセスできる・誰でも機密情報を閲覧できる状態になるため、サイバー攻撃や内部不正など不正アクセスされる危険性が高まります。
情報漏えいのリスクを軽減するためには、従業員ごとに必要なアクセス権限を付与・管理できるよう、アクセス権限の管理機能があるサービスを選定しましょう。
【 データの保管場所が国内 】
サービス提供者の中には、国内ではなく海外にデータセンターを設置しているケースも少なくありません。万が一、データセンターの設置場所が海外の場合、インシデント発生時の対応が遅い・災害へのリスク管理が低い・法制度が異なる・コンプライアンスの意識が低いなどの理由により、かえってセキュリティリスクが高まる危険性があります。
そのため、データセンターの設置場所が国内にある、信頼できるクラウドサービス提供者を選定することをおすすめします。
【 実施しているセキュリティ対策・リスク対策 】
サービス提供者がどのようなセキュリティ対策やリスク対策を実施しているかも重要です。認証の強化・セキュリティ監視などのセキュリティ対策やネットワーク・仮想化基盤・サービス基盤・インフラへのリスク対策についてどこまで実施されているか確認しておきましょう。
【 安心のサポート体制 】
サイバー攻撃や内部不正による不正アクセスを未然に防ぐ・万が一、インシデントが発生した場合に迅速に対処できるよう24時間365日の運用監視サービスや不測の事態に備えた対処方法を講じているサービス提供者を選定しましょう。
【複数の データセンターをもっている 】
1ヵ所のデータセンターでデータ保存をしている場合、自然災害や故障などインシデントによりデータが消去してしまうとバックアップが取れずにデータが完全に消えてしまうリスクが伴います。一方、複数のデータセンターに分散してデータ保存している場合は、預けているデータがすべて消去するといった危険性はありません。
そのため、複数のデータセンターを持つサービス提供者を選定することをおすすめします。
【 ログ管理機能がある 】
アクセス日時・IPアドレス・アクセス先などのアクセスログを記録・管理できる機能が備わていることで、不正アクセスや不審なログが発見時にも迅速に原因の分析・対処することができます。そのため、ログ管理の機能が備わっているクラウドサービスを選定しましょう。
また、ログの範囲や保存期間はサービス提供者によって異なるため事前に確認しておくことをおすすめします。
【 データ通信のSSL化に対応している 】
SSL (Secure Sockets Layer)とは、インターネット上の通信(データ)を暗号化することで保護する技術のことで、データ通信のSSL化はセキュリティ対策として基本的な施策といえます。万が一、SSL化に対応していないクラウドサービスを利用した場合、預けているデータが改ざんや情報漏えいしてしまうリスクが高まります。
そのため、必ずSSL化に対応しているクラウドサービスを選定しましょう。
最後に、クラウドサービスを利用する上で注意すべきポイントやセキュリティ対策について解説します。
クラウドサービスのログイン時に、ユーザー名やパスワードなどのログイン情報だけでアクセスできる状態はセキュリティ対策として不十分です。ログイン情報はサイバー攻撃やブルートフォース攻撃、情報漏えいなど、さまざまな方法で不正入手・推測される危険性があります。
そのため、認証を強化し、多層防御を図る方法として『多要素認証(MFA)』を導入することを推奨します。多要素認証とは、本人確認を行う上で複数の要素を組み合わせて認証する方法のことで、万が一ログイン情報が漏えいした場合でも不正アクセスを防ぐことができます。
クラウドサービスにおける責任分界点は、クラウドサービス提供者と利用者それぞれに定められています。一般的には仮想マシンやゲストOSを動かす仕組みはクラウドサービス提供者側が、OSの設定などは利用者側が担保しますが、利用するクラウドサービスの種類や提供形態によって責任の範囲は異なります。
そのため、クラウドサービスを選定する際には、万が一に備えてセキュリティの責任範囲も把握しておきましょう。
クラウドサービスを安全に利用する上で「アクセス管理・外部ユーザー管理を徹底する」ことは非常に重要です。
ユーザー毎に必要最小限のアクセス権限を付与することで、ユーザーのアクセス範囲が制限され、情報漏えいのリスクを大幅に軽減することができます。
ただし、人事異動などでユーザーの権限範囲の変更が必要であるにも関わらずアクセス権の更新をしていない場合、権限を悪用される危険性があります。また、クラウドサービスは外部のゲストユーザーを招待することで共同作業ができるメリットがある一方、情報漏えいなどのインシデントが発生するリスクがあります。
そのため、アクセス権限の付与を最小限に制限するだけでなく、定期的なアクセス権の見直しやゲストユーザーの管理・ゲストユーザーを招待できる権限所持者の管理の見直しも実施しましょう。
万が一、クラウド環境において不正アクセスや異常なデータ移動が発生した場合、被害を最小限に抑えるために最も重要なのが早期検知と迅速な対応です。そのため、リアルタイムかつ継続的な監視や自動化された警告システムなど、セキュリティ監視体制を強化できるクラウドサービスを選定しましょう。
システム障害やサイバー攻撃、自然災害といった万が一のインシデントに備えて、定期的に複数のバックアップを取得しておくことを推奨します。データセンターなど複数にバックアップを保管しておくことで、データが消失・暗号化・破損した場合でも迅速にデータを復旧させることができます。
なお、適切なバックアップ方法として「3つのデータコピーを・2種類以上の媒体に・1つは遠隔地に保管」する『3-2-1ルール』が推奨されています。
ソフトウェアは脆弱性が発見されると開発元からパッチが提供されます。しかし、パッチを適用せずにクラウドサービスを利用し続けた場合、脆弱性を狙われてマルウェア感染やサイバー攻撃を受ける危険性が高まります。
安全にクラウドサービスを利用するために、定期的に適切なタイミングでパッチを適用しましょう。
クラウドサービスのセキュリティ被害では、ポートが開放されている・誰でもクラウドサービスにアクセスできるといった設定ミスが原因となり、情報漏えいが発生しているケースが多いです。
また、設定ミスが発生しやすいタイミングとして、システムの設定変更時や新しくシステムを導入する際などが挙げられています。
特に、クラウドサービスは更新・バージョンアップの頻度が高く、次々に新しい機能が追加されるため、システムの設定が複雑になっていたりデフォルト設定が外部に公開する仕様になるなど、仕様が変更していたりする可能性もあります。
そのため、全般的なクラウドサービスの設定を定期的に見直すことを推奨します。
以上、クラウドセキュリティのリスクと被害事例、安全に利用する上で注意すべきポイントと対策について徹底解説しました。
― クラウドセキュリティとは
― クラウドサービスに伴うセキュリティリスクとは
― クラウドサービスの被害事例
― クラウドサービス・サービス提供者を選定するポイント
― クラウドサービスの利用時に注意すべきポイント・対策
クラウドサービスはインターネットを経由して場所を問わずに利用できる利便性が高いからこそ不正アクセスや情報漏えいといったセキュリティリスクが伴います。安全にクラウドサービスを利用し続けるために、今回ご紹介したセキュリティリスクやクラウドサービスの責任分界点をしっかり理解・把握し、強固なセキュリティ対策を講じましょう。
ソニックスでは、セキュリティ対策の見直しとしてセカンドオピニオンのサービスも取り扱っております。
社内のセキュリティ対策について改善したい・相談したいなどお悩みごとがありましたら、まずはお気軽にソニックスにお問い合わせください。
