クラウドのセキュリティ対策は「社内」「製品」「事業者」がポイント

社内システムの管理は堅牢性・冗長性・事業継続性・災害対策等にコストがかかることから、クラウドシステムを導入する企業が増えてきています。一方、予約ラボの「企業のクラウドシステム導入に関する調査」では、クラウドシステムの企業内利用において、セキュリティに関する不安が未だ多いことがわかりました。

そこでクラウドシステム導入時、セキュリティの観点から自社で行うべき対策とクラウドサービス事業者の選定ポイントについてまとめました。

まずは自社で発生するセキュリティリスクを抑える

導入担当者にとって、クラウドシステムのセキュリティ要件やクラウドサービス事業者に対する信頼度は重要なポイントになります。しかし同時に、社内で起こる不正アクセスや情報漏洩というセキュリティリスクも忘れてはいけません。セキュリティのリスク管理はサービス事業者だけでなく、自社にも責任があることを再度確認しておきましょう。とても基本的なことになりますが、おさらいとして、自社で行うべき対策の代表例をご紹介します。

利用しているPCなどのデバイスの脆弱性管理

クラウドシステムを利用するデバイスだけでなく、社員が利用するPCのOSやアプリケーション等を常に最新の状態にしておきましょう。これによりソフトウエアの脆弱性に対する攻撃を回避することができます。

アンチウィルスソフトの導入

ソフトウエアの更新と同様、導入の徹底と常に最新の状態であるか管理はできていますか？多くの方にとっては当たり前のことでも、たった一人の不備からウイルスの侵入を許してしまうこともあります。そのため、その重要性を社員に理解してもらうための社員教育が重要なポイントとなります。

同じID/PWを使いまわさない

こちらも基本中の基本ですね。それぞれのシステムで違うID/PWを利用することで、万が一、一つのシステムでID/PWが漏洩した場合でも、被害を最小限にとどめることができます。また社員のID/PWの設定が適切になるよう管理しておくことも大切です。

利用者のアカウントや権限の管理

利用者ごとに管理画面へのログインID/PWを発行し、アクセス・閲覧・変更などの権限を管理します。さらに退職者に対する手続きのフローの中に「アカウント削除」を入れておくことも忘れずに徹底しておきましょう。

利用者のログ管理

メール・ウェブ閲覧など定期的に監視をすることで、情報漏洩時の被害内容把握や原因究明だけでなく、行動監視という視点でも抑止的な役割を果たします。

データのバックアップ

もちろんクラウドサービス事業者側でも自動バックアップを行っていますが、万が一に備え、必要最小限のデータは保管しておくことをお勧めします。

企業・組織における情報管理担当者が実践すべき情報セキュリティに対策として、総務省がまとめた「情報管理担当者の情報セキュリティ対策」や独立行政法人 情報処理推進機構（IPA）による「情報セキュリティ10大脅威 2016」などにも、わかりやすく解説されています。

クラウドシステムのセキュリティ強化に役立つ機能

クラウドシステム導入時に、標準やオプションで搭載されているセキュリティ機能を確認しておくことで、扱う情報の管理レベルに合わせた運用が可能になります。そこで、セキュリティ強化に役立つ主な機能をピックアップしました。導入を検討しているクラウドシステムにどのような機能があるのかを確認しておきましょう。

管理者の権限を設定

管理者のレベルによって操作できるメニューや、閲覧・編集できる権限を限定する機能があります。セキュアな情報へアクセスできるスタッフを制限できるだけでなく、悪意はなくても権限があることで誤った情報を発信してしまう、というような人的ミスの回避にもつながります。

IPアクセス制限

クラウドシステムは場所を選ばずにアクセスできることが特徴の一つですが、社内利用に限定したり、自宅や外出先から管理情報にアクセスさせたくない場合に利用することでセキュリティを強化する事ができます。

管理者ログ

システム上でアカウント別に管理者のログイン・編集ログを取得することができる機能です。前述の「利用者ログ」同様に行動監視による情報漏洩の抑止や、情報漏洩の原因究明に必要な機能です。

ログインロック

一定回数以上、ユーザー名とパスワードを間違えると、アカウントがロックされる機能です。不正ログインを防止します。

その他、ワンタイムパスワードや電子証明書を保持した特定の端末のみにアクセスを許可する認証機能の構築など、保有する情報の管理レベルにより、機能を上手に活用できるといいですね。

クラウドサービス事業者の選定ポイント

最後は、システムの機能選定と同様に、もしくはそれ以上に重要となるサービス事業者の選定についてです。どんなに利便性の高いシステムでも、最終的にはそれを提供する企業が信頼できなければ、安心して利用することはできません。どのような基準でサービス事業者を選定すればいいのか？いくつかポイントをご紹介しますので、以下の項目を導入検討時に確認しておくことをオススメします。

信頼のあるデータセンターで運用

データセンターは24時間365日稼働できることはもちろん、災害発生時などの非常時にも安定稼働できる設備・構造・運用をもった信頼性の高い環境で運用されています。さらにセキュリティ面では、第三者機関の認定を取得しているなど、情報漏洩対策が徹底していることが重要となります。

通信暗号化

個人情報等を扱うページ全てにSSLで暗号化した通信を行うように設定さることで、記載個人情報の盗聴や改ざん等を防止しています。

データバックアップ

万が一の障害発生時、速やかに通常業運用に戻る上で重要な要素になります。毎日のデータをフルバックアップはもちろん、世代管理・データベースの二重化を行うなど、リアルタイムでのバックアップにも対応しているとさらに安心です。

定期的な脆弱性診断

サービス事情者による定期的な脆弱性診断や、外部診断業者による脆弱性診断がアプリケーション及びOS・ミドルウェアで行われているなど、常に最新の不正アクセス対策が行われていることも選定ポイントとして重要です。

導入実績

導入実績を確認することで、大手企業の厳しいセキュリティ基準をクリアできているかなど、判断基準の材料になりえます。

安心できる営業・サポート体制

営業・サポート体制はシステムの保守・運用体制と同じように重要なポイントになります。システムを利用する企業のセキュリティ環境に合わせて、適切な機能を提案してもらえることで、導入担当者の負担が軽減されます。

社内の教育体制

どんなにシステムが評価できてもでも、結局運用をするのは人になります。社員への徹底したセキュリティ教育はもちろん、内部情報漏洩を防止する観点では、社員満足度が高い企業であるということもポイントになるでしょう。

他にも利用終了後のデータの保管や契約条件など、確認することは数多くありますが、利用目的に合わせて、サービス事業者に相談をしてみてください。

今回のポイントが、クラウドシステム選定時のご参考になれば幸いです。