企業のセキュリティ運用、出来ていますか?
INDEX
はじめに
近年、テレワーク導入推進により、企業のクラウドサービス利用率は高まっています。しかしスピード重視でクラウド導入を進めた結果、セキュリティ対策が後手に回っていたり、クラウドのセキュリティはクラウドサービス事業者が管理するもの、と間違った認識をしている企業も多いのではないでしょうか。
この記事ではクラウド環境においてのセキュリティリスクや、自社で行うべきセキュリティの運用範囲への理解を深め、適切なセキュリティ運用を行う方法をご紹介します。
クラウドの情報セキュリティに、リスクはつきもの?
クラウドを利用する上での懸念点は、セキュリティに関する点が大部分を占めるのではないでしょうか。自社で情報システムを保有するオンプレミスと異なり、クラウドサービス事業者に情報システムを依存することになるため、第三者への情報漏洩など不安をおぼえる方も多いようです。
しかし結論から言うと「オンプレミスだから安心」「クラウドだからセキュリティが心配」というわけではありません。クラウド環境の情報セキュリティリスクとはどんなものか、何が不安で、払拭するにはどうすればよいのかをみていきましょう。
そもそも情報セキュリティとは?
クラウドの情報セキュリティリスクを知るために、まず情報セキュリティとは何かということを押さえておきましょう。
情報セキュリティとは、システムの破損や故障、データや情報の漏洩が起こらぬよう、これらを保全し安全に企業業務を遂行することを指します。
情報セキュリティを維持するために、具体的な指標として次の7つの要素を押さえておく必要があります。
(JISQ27000シリーズ参考)
1.機密性:ある情報を許可された利用者だけが、許可された範囲内で利用できること
アクセスコントロールとも呼ばれます。身近な例としてはSNS等の個人ページなどがそれにあたります。ログイン情報を知っている自分だけが自分のタイムラインを閲覧したり投稿できたりすることです。
2.完全性:情報が完全で正確であることが保証されていること(改ざんされていない)
資料など、ある情報が作られてから現在に至るまで、一部分が欠損したり、内容が違うものに置き換えられていないことです。欠損や改ざんは悪意によるものに限らず、人為的ミスによっても起こる恐れがあり注意が必要です。
3.可用性:利用者が、ある情報を使いたい時にいつでも使えること
外勤時にスマホやタブレットを使い、クラウド上のデータを開くというのがイメージしやすい例です。加えて、故障や外部からのセキュリティ攻撃、自然災害に備えて機器や電源を二重化したりバックアップを取ったりすることで可用性を高められます。
4.真正性:本人であることを証明すること
情報を使用する人が間違いなく本人である、ということを証明する指標です。情報を処理するプロセスが不正に個人情報をだまし取るような偽物ではない、情報そのものが偽物ではないなど「なりすまし」ではない状態のことです。一般的な対策としては、特定の本人しかアクセスできないように、情報の入り口でIDとパスワードの入力を求めるシステムがあります。また情報の作成者を明確にできるデジタル署名も有効です。
5.責任追跡性:いつ、だれが、何に対して、どんなことをやったかを把握すること
情報へのアクセスや操作が、誰によって行われたものかを明確にすることです。アクセスログを取れるようにしておくことは責任追跡性の維持に効果的で『いつ』『だれが』『どの情報に』『何をしたのか』を特定できます。この責任追及性を確保することで、不正アクセスがあった際も犯人特定や証拠保全(デジタルフォレンジック)に役立ちます。
6.信頼性:故障がなく、正しい操作で正しい結果が得られること
行った操作に対して正しい情報・結果が返ってくることや、システムに故障がないことなど、情報処理が不具合なく行われる状態です。例えばオンラインでの商品購入画面で、商品をカートに入れたにも関わらずその情報が反映されない場合、情報への信頼性が保てていない状態になります。
7.否認防止:ある時にある人がその操作を行ったという証明をすること
情報の制作や操作をした人が、後程それらを否定できないようにすることです。例えば文書ファイルやメールにデジタル署名をつけ、作成者を明らかにすることは否認防止対策になります。また悪意のある情報の改ざんや破壊などを行った人が責任を否定できないよう、ログが残るシステムを作ることも有効です。例としては出退勤時に押すタイムスタンプなどがあげられます。
以上、7つの要素が挙げられますが、中でも1.機密性、2.完全性、3.可用性の三つの要素を実現し、情報資産を保護することで顧客からの信頼獲得につながります。
情報セキュリティを脅かす、脆弱性と脅威とは?
競争力と収益力の維持・向上することが情報セキュリティの目的ですが、セキュリティを脅かす存在として脆弱性と脅威があります。脆弱性とは、情報資産や周りの環境が危険な状態に陥る危険性をはらんでいる状態を指します。脅威とは情報資産やその環境に損害を与える直接的な要因を指します。脆弱性と脅威には3種類あり、物理脆弱性(脅威)、技術的脆弱性(脅威)、人的脆弱性(脅威)です。下記の表で一例をご紹介します。
| 脆弱性 | 脅威 | |
|---|---|---|
| 物理的 |
|
|
| 技術的 |
|
|
| 人的 |
|
|
以上のような脆弱性を解消し、脅威による損害を避けることが、情報セキュリティ対策の最優先課題です。
クラウドのセキュリティ対策を不安視する理由とは?
情報セキュリティリスク対策以外にも、クラウドのセキュリティ対策に不安がある企業には、どのような面があるのかみてみましょう。
【予算、人的リソースが足りない】
新たにクラウドセキュリティ対策を取り入れたとしても継続的な運用監視までは手が回らないのが現実です。サイバー攻撃は夜間や週末も関係なくやってきます。これに対し常にアラートを見張り、アラートの意味を理解して、攻撃か過検知かを見極め、必要があれば適切に対処する一連のセキュリティ施策を運用するとなると、人もノウハウも予算も足りなくなります。24時間365日万全にセキュリティ対策が取れる体制は、文字通り止めどなくシステムの稼働や人員配置する必要があるためそれだけ費用もかかることになります。
【どこまでが自社の責任かわからない】
自社のクラウド環境によって、セキュリティ対策の必要部分が異なりますが、対策するべき箇所がわからない、把握できていない企業は多いです。また、クラウドサービスを利用契約する際に、サービス事業者とSLA(サービス・レベル・アグリーメント)を確認する必要がありますが、自社とサービス事業者との間で認識の齟齬が生じるおそれもあります。「ここは事業者側でやってもらえると聞いていたのに、こっちでやらなきゃダメなの?」といったことがないよう、契約時に明確にしておく必要があります。
クラウドのセキュリティ対策面での不安を解決するには?
クラウドのセキュリティ対策面での不安を解決するために、まずはサービス事業者・利用者それぞれのセキュリティのレイヤを理解しましょう。
インターネットでデータをやり取りする機能は、いくつかの層(レイヤ)に分かれます。このレイヤを理解することが、クラウドのセキュリティ対策面で重要なポイントです。利用するクラウドサービスの種類(IaaS、PaaS、SaaS)によって、提供されるレイヤや責任を負う範囲は異なります。いずれのクラウドサービスにおいても、事業者が責任を負う箇所、利用者が責任を負う箇所を明確にしなければなりません。
| レイヤ | IaaS | PaaS | SaaS |
|---|---|---|---|
| 保存されるデータ | |||
| アプリケーション | |||
| ミドルウェア | |||
| OS | |||
| ハードウェア | |||
| ネットワーク |
■利用者が責任を負う箇所 ■事業者が責任を負う箇所
まとめ
クラウドのセキュリティリスクや自社で取るべきセキュリティ対策など、ご理解いただけましたでしょうか。インターネット上でサービスを利用する以上は常にリスクをはらんでおり、クラウドサービス事業者側でもセキュリティ対策に力を入れてはいますが、自社でもできる部分は対策を徹底させる必要があります。自社でやるべきことはわかったがリソースが足らない、セキュリティ運用できる人材がいないといった場合はセラクにお任せください。
セラクは、Microsoft
Azure、AWSなどのクラウドサービスを対象に、運用・保守・監視の全体を管理する充実したサービスを提供しております。また、専門性を持つセキュリティ技術者によるSOC(セキュリティ・オペレーション・センター)運用やセキュリティ診断などを通じて、お客様のIT資産を強固に守ります。システムにより、必要なセキュリティ対策の種類・レベルは異なります。お客様のセキュリティ対策は、外部からの攻撃対策も含めた多種多様なシステムの運用実績を持つセラクにお任せください。
24時間365日対応可能!
クラウド導入・運用は
セラクにおまかせください
その他の記事
