その他

クラウドサーバーのセキュリティ脅威とその対策とは?

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_2044

クラウドサーバーを提供するサービスは、ファイル共有やアプリケーション開発のプラットフォームなど、多種多様な機能を持ち、非常に便利です。

しかし、セキュリティ面で注意しなくてはならない部分もあります。どのような脅威が考えられるのか、またどう対策すればよいのかなどについて解説していきます。

1. クラウドにおけるセキュリティ脅威とは?

クラウドサービスを利用するには、どのような脅威があるのでしょうか。考えられるケースをご紹介します。

1-1. 不正アクセス

クラウドに限らずどのサービスにもいえることですが、ログインして利用するサービスは、不正アクセスのリスクがあります。たとえば、つぎのような手口が考えられるでしょう。

総当たり攻撃(ブルートフォースアタック)

ツールを使って、適当な文字列をID・パスワード欄に当てはめてログインを試みる手法です。ID・パスワードを単純な単語にしていると、この攻撃の被害を受ける可能性があります。

辞書攻撃

総当たり攻撃と似ている攻撃手法です。辞書に載っている単語をツールで当てはめていき、ログインを試みます。

パスワードリスト攻撃

他サイトで流出したID・パスワードの組み合わせを使って、ログインを試みる攻撃です。同じ文字列を使い回していると、被害に遭いやすくなります。

コンピューターウイルス

ウイルスのなかには、入力した個人情報を盗み見る機能を持った種類も存在します。これを使ってID・パスワードを入手し、不正アクセスを試みるケースもあります。

退職者による不正アクセス

社内でクラウドを利用していた場合、退職者の利用していたアカウントを削除し忘れると、そこからアクセスされることがあります。恨みを持った元社員が、会社に仕返しする可能性も考えられるでしょう。

1-2. 脆弱性を狙った攻撃

クラウドサービスの脆弱性を突いたサイバー攻撃がおこなわれれば、クラウド上のデータを盗み見られたり、改ざんされたりといった被害に遭う可能性があります。

ただ、サービス上の脆弱性であれば、クラウドを提供する側のセキュリティ意識にかかってくるでしょう。対策のしっかりしている業者を選定することも重要です。

2. クラウド利用時に実施すべきセキュリティ対策

クラウドを安全に利用するには、以下のようなセキュリティ対策が重要です。社内で不十分な点があれば、すぐ対処することをオススメします。

2-1. パスワード管理を厳重にする

前項で紹介した、総当たり攻撃やパスワードリスト攻撃を防ぐ対策が必要です。パスワードは単純なものにしないとか、他サービスと同じものを使いまわさないようにしてください。

具体的には英数字の混合で8文字以上が望ましく、記号も使えるようなら入れたほうがよいでしょう。また、定期的に変更するとより安心です。

2-2. アクセス制限を設定する

クラウドは、社内以外のさまざまな場所・端末からアクセスできるのが強みです。しかし、安全な環境からログインしないと、通信内容を傍受されるなど情報漏えいの原因になりかねません。

  • 会社指定の端末、特定IPのみアクセスを許可する(自宅や私物端末からのアクセスを拒否)
  • 外出先からWi-Fiでアクセスする際は暗号化をおこなう

2-3. ユーザーを適切に管理する

業務上、クラウドにアクセスする必要のない社員や、退職・異動になった社員のアカウントを有効にしたまま、自由にログインできるようにしておくのはキケンです。

相手が会社に恨みがあったり、競合他社に転職したりした場合、ログインされてデータを盗まれる可能性があります。以下のような対策を講じましょう。

  • クラウドに接続する必要のない社員には、ログイン権限を付与しない
  • 退職もしくは異動した社員が出たら、対象アカウントを速やかに削除
  • 退職もしくは異動社員が上位権限を持っていた場合はパスワード変更
  • ログイン情報を誰でも見られる状態にしない(ふせんに貼っておくなど)

2-4. 定期的にバックアップを取っておく

自社でセキュリティ対策していても、クラウドサービスの提供側がサイバー攻撃を受ける可能性はゼロではありません。

滅多にないとは思われますが、データを改ざんされて復旧できない!という万が一の事態を防ぐため、定期的に別の場所へもデータをバックアップしておくと安心です。

2-5. セキュリティソフトでウイルス対策

ウイルス感染した端末でクラウドに接続すれば、第三者にクラウド関連の情報を盗み見られる、社内ネットワーク全体にウイルスが拡散される、といったキケンがあります。

とくに最近はメールの標的型攻撃(知り合いになりすましてウイルスを送りつける手口)が巧妙化しており、セキュリティソフトで検出できないウイルスも増え続けています。以下のように対策してください。

  • セキュリティソフトをインストールする
  • むやみにメール添付ファイルのインストール、本文中のリンクにアクセスしない
  • ネット上で配布されているソフトやデータをむやみにインストールしない

2-6. 物理的にもセキュリティ対策

情報漏えいはサイバー攻撃のほかに、社用パソコンの紛失が原因となるケースも多いです。そこで、ネット上だけでなく物理的にもセキュリティ対策をおこなうことが重要です。

  • 社内端末は原則的に持ち出さないようにする
  • やむを得ず外部に持ち出すときは許可制にする
  • 社内でセキュリティ教育をおこなう
  • 万が一に備えて自動でパソコンにロックがかかる設定にする

2-7. ネットワークのセキュリティ診断を受ける

社内ネットワークにセキュリティの問題がないか、セキュリティ会社にチェックしてもらう手もあります。どの部分が弱点となるのかも分かりますし、不正アクセスがあった場合はその対処もできます。

3. クラウドサービスを選ぶときの注意点

ひと口にクラウドサービスといっても、機能やセキュリティ性能はサービス提供元で大きく異なります。安全なクラウドを利用するには、つぎのような観点で優れていると判断できるものを選びましょう。

ログインに複数の認証システムがあるか

ログインID・パスワードを単純な文字列にしないことは、セキュリティ対策として有効です。そのうえ、さらに複数の認証システムがあれば安心できます。

たとえばログイン時に2段階認証を設けているとか、ワンタイムパスワードの入力を必要とする、といったものです。少し面倒かもしれませんが、重要なデータを守るためには仕方ありません。

データは暗号化されているか

暗号化とはデータのやりとりをおこなう際、通信内容を暗号化する仕組みです。SSL(Secure Sockets Layer)もしくはTLS(Transport Layer Security)と呼ばれます。

これが設定されていると、第三者が通信の内容を傍受しようとしても、中身をそのまま読むことはできません。SSL/TLSでの通信を謳っているサービスを選ぶとよいでしょう。

セキュリティ設定が可能か

前項で紹介したように、IPでのアクセス制限を設定する機能やファイアウォール、監視や不正アクセスの通知があるかなど、セキュリティ面の機能を確認してください。

いくら欲しい機能があって値段が安いといっても、情報が漏えいしてしまっては元も子もありません。セキュリティに力を入れていると思われるサービスを選びましょう。

まとめ

クラウドに興味があるものの、セキュリティの不安から導入を踏みとどまる企業も少なくないといわれます。しかし、適切に利用すればクラウドのほうがセキュリティ面で有利な部分も多いです。

安全かつ快適に使いこなせるように複数サービスを比較検討し、しっかり対策したうえで利用してみてはいかがでしょうか。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る