その他

クラウドのセキュリティに潜む3つのリスクとは?

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_2053

クラウドサービスとは、インターネット上の仮想空間「クラウド」にデータを保存、共有できるサービスです。

最近は企業だけでなく、私たちがふだんよく使うサービスもクラウドになってきています。クラウドのメリットは、自分のパソコンや自社で管理していたデータを預けることで、どの端末からでもデータにアクセスできる、コストダウン効果などがあります。

しかしその反面、大事なデータを第三者に預けることへのリスクやセキュリティが心配です。クラウドサービスにはどんなセキュリティリスクがあるのか解説します。

1. クラウドサービスのセキュリティリスク3つ

1-1. 情報漏えいのリスク

顧客情報や個人情報、会社の機密情報などをあずける場合、クラウドサーバーへのサイバー攻撃や不正ログインで流出してしまうと、賠償金などで多額の損害の出る恐れがあります。

クラウド事業者だけでなく、利用側の社員や第三者による不正ログインにも注意してください。

1-2. データ消失のリスク

クラウド事業者の障害やミスにより、保存したデータがすべて消えてしまう事故が実際に起きています。(「2. クラウドサービスの事故事例」で解説)

ユーザーに落ち度はなくても、消えてしまったデータは戻せません。重要データ消失の場合、賠償されたとしてもユーザーは大ダメージを受ける可能性があります。

1-3. サーバーダウン(サービス利用不可)のリスク

必要なファイルにアクセスできなくなるリスクもあります。データを預ける=直接管理できないということでもあり、クラウド事業者の問題でサービス利用不可になっても、ユーザーは復旧を待つしかありません。

データセンターなどネットワーク中枢で事故や災害が起きると、事業者がWebサイトを通じてトラブルをアナウンスすることもできず、ユーザーが混乱する事態となるケースもあります。

アメリカの場合

アメリカには、テロ発生時などに捜査機関がクラウドサービスを差し押さえる「パトリオット法(愛国者法)」という法律があります。

そのため海外のクラウドサービスと契約した場合、万が一この法律が適用されると、サービス停止や押収の可能性があります。(システムが日本にあったとしても適用される)

パトリオット法は実際に何度か施行されており、今後も施行される可能性はゼロではありません。

2. 事故が起きる原因は?

  • ネットワークやシステムの障害
  • サイバー攻撃、第三者による不正ログイン
  • 人為的なミス
  • サービス停止・終了やクラウド事業者の倒産

クラウド事業者にこれらの問題が起き、ユーザーが被害を受ける事故が起きています。しかし、人為的なミスやサイバー攻撃を100%防ぐことはできません。

そのため、セキュリティ対策や事故時の対応・賠償がしっかりしているクラウドを選ぶことが重要です。

3. クラウドサービスの事故事例

3-1. ファーストサーバ事件:ミスで顧客の全データ消失

2012年、クラウドサービスプロバイダであるファーストサーバが、契約している約5000社の顧客データをすべて消失しました。

契約企業ではデータ消失に加え、ウェブサイトが閲覧不能になるなどの状態になりました。さらに情報漏えいという二次被害も発生してしまったとのことです。

事故の原因

メールシステム障害対策のため、サーバーへメンテナンスをするときに使った更新プログラムに不具合があり、サーバーのデータをバックアップも一緒に削除してしまい、復元も不可能でした。

プログラムに不具合が起きた原因は、担当者が更新プログラム改変のとき、「対象サーバーのファイル削除をするコマンド」を消し忘れたことでした。

ファーストサーバの対応

第三者調査委員会による事故原因の調査・再発防止策(二次バックアップなど)を徹底し、ファーストサーバは現在も運営を続けています。ファーストサーバ親会社のヤフーは、「システム事故関連損失」として12億円を計上しています。

3-2. Dropbox:パスワードなしでログイン可能に

2011年、ファイル共有サービスのDropboxで、パスワードなしで全ユーザーにログインできる状態が4時間も続くデータ障害が発生しました。

事故の原因

プログラマーのミスであり、コードアップデートによってDropboxの認証メカニズムに影響を及ぼすバグが発生したということです。

Dropboxの対応

予防措置として全セッションを終了させ、不正アクセスの有無について調査、再発防止のため追加で対策を徹底するとしています。

4. 企業のクラウド利用状況

総務省がおこなった「平成26年通信利用動向調査(企業編)」によると、「クラウドの利用状況」について、「全社的に利用している」20.4%、「一部の事業所又は部門で利用している」 17.7%となっており、クラウド利用企業の割合は合計 38.1%と年々上昇しています。

そんな中、クラウドを利用していない企業の理由をみると、「必要がない」43.7%と最も高く、次いで「情報漏洩などセキュリティに不安がある」33.7%、「メリットが分からない、判断できない」22.0%、「クラウドの導入に伴う既存システムの改修コストが大きい」18.7%となっています。

セキュリティ面の不安からクラウドを利用しない企業が一定数存在することがわかります。

5. 企業がクラウドを利用する前のチェックポイント

事故リスクが低く、万が一のときでもしっかりした対応が定められているクラウドを選ぶことが大切です。クラウド事業者ごとにサービスの内容が異なるので、利用前にしっかりチェックしたい点があります。

5-1. 事故リスクの低いクラウドを選ぶポイント

ポイント1:法人向けサービスを選ぶ

一般向けや無料のサービスは、セキュリティが不十分なことも。重要データをあつかう企業では、法人向けのクラウドサービスが推奨されます。

ポイント2:シングルテナントを選ぶ

クラウドサービスには、複数の企業で同じシステムを共有するマルチテナント。企業ごとに専用機材を用意するシングルテナントの2つがあります。

マルチテナントでは、テナントが1つでもハッキングされると、すべてのテナントがハッキングされる危険があります。

そのため企業ごとに専用機材を用意するシングルテナントのほうが、セキュリティレベルは高いです。

その他

  • 暗号化技術(SSLなど)を使用している
  • インフラが自社所有で、すべて自社で管理できる
  • JIS Q 27001:「情報セキュリティマネジメントシステム(ISMS)」に準拠している

5-2. 契約内容のチェックポイント

  • サービスレベル(契約内容、SLAなど)はマッチしているか?
  • データ流出・消失時などの対応は?
  • トラブル発生時の対応レベルは?
  • トラブル時の損害賠償はあるか?
  • クラウド事業者が海外にある場合、万が一の訴訟時費用はどうなる?
  • 利用者からの監査要求はできるか?
  • サービス利用終了時のデータの取り扱い方法は?

所定の動作率を達成できなかったとき、返金をおこなうなどの対応についてサービス水準合意(SLA)で定めている事業者もあります。

サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービスレベルを明示し、セキュリティ対策を具体的に公開しているサービスが良いでしょう。

IPAではクラウドを安全利用するための資料やチェックシートを公開しています。

クラウドサービス安全利用のすすめ
http://www.ipa.go.jp/security/keihatsu/pr2012/ent/02_cloud.html

また経済産業省が発行する「クラウドセキュリティガイドライン」では、クラウドのセキュリティ確保のためにユーザーが行うべきこと、クラウド事業者に対して求めるべきことなどがまとめられています。

「クラウドセキュリティガイドライン改訂版」ダウンロードページ
http://www.meti.go.jp/press/2013/03/20140314004/20140314004.html

クラウド利用時に実施すべきセキュリティ対策については、こちらをご覧ください。

クラウドサーバーのセキュリティ脅威とその対策とは?
クラウドサーバーを提供するサービスは、ファイル共有やアプリケーション開発のプラットフォームなど、多種多様な機能を持ち、非常に便利です。しかし、セキュリティ面...

まとめ

メリットの多いクラウドサービスですが、セキュリティの不安といったリスクもあります。クラウド事業者側にすべて丸投げするのではなく、万が一のことを考えてユーザー側での対策も必要です。

クラウドのリスクを紹介しましたが、情報は自社で管理していても流出するリスクはあります。自社で十分な管理ができない場合は、ITの専門家であるクラウド事業者にまかせたほうが安全でしょう。

セキュリティリスクを少しでも減らし、大事なデータを守ってください。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る