クラウドで情報漏洩は起きる? 原因や漏洩を防ぐ体制の作り方を解説
自社サーバーを持っていなくても、インターネットを介してアプリケーションやソフトウェアなどを利用できるクラウドサービスは利便性が高く、今や多くの企業が利用しています。しかし、クラウドはインターネットという開かれた世界に接続するサービスで、サービス提供者に情報セキュリティを任せきりになるという点で情報漏洩・消失が心配です。クラウドサービスを利用する際は、特有の情報漏洩・消失の原因や対応策を踏まえて利用することが重要になります。
本記事では、クラウドにおける情報漏洩・消失の原因や、クラウドサービス検討時に情報漏洩対策の観点から知っておくべきポイント、情報漏洩防止のための社内体制の作り方などを解説します。
クラウドサービスとは、インターネット経由でソフトウェアなどを利用できるサービスのこと
クラウドサービスは正式には「クラウド・コンピューティング」と呼ばれるもので、企業が導入することで自社サーバーやシステム環境を持っていなくても、インターネットを経由してアプリケーションやソフトウェアなどを利用できるサービスです。
クラウドサービスは、管理業務やメンテナンスなどをサービス提供者に任せられる点で高い利便性があります。しかし、セキュリティ対策もサービス提供者に依存することとなる点や、インターネットはオープンな環境で基本的には全世界につながっているという点から、情報漏洩には注意しなければなりません。
クラウドでの情報漏洩・消失が起きる原因
クラウドにおける情報漏洩・消失が起きる原因には、いくつかの種類があります。
代表的な原因としては、下記の4種類が挙げられます。
サイバー攻撃
クラウドサービスはインターネットを経由して利用するため、第三者によるサイバー攻撃を受けるリスクは避けられません。情報漏洩に関連するサイバー攻撃は、特定のターゲットを狙った攻撃とOSやWebサイトの脆弱性を狙った攻撃の2タイプに分けられます。
特定のターゲットを狙ったサイバー攻撃とは、パソコンにウイルスを感染させることで情報を盗む方法で、メールの添付ファイルに不正なプログラムを仕込む方法や不正ログインなどが主な手段です。
一方、OSやWebサイトの脆弱性を狙ったサイバー攻撃はその手口も多岐にわたります。例えば、脆弱性のあるWebサイトに不正な命令文を仕込んでデータを窃取する、というのも1つのパターンです。
アカウント情報の管理不備による不正アクセス
利用者によるID・パスワードといったアカウント情報の管理不備が原因で、不正アクセスによる情報漏洩が発生することがあります。
クラウドサービスには、誰もが場所を問わず情報にアクセスできるというメリットがありますが、場合によってはこのメリットが情報漏洩発生の原因となる可能性もあるのです。
公開範囲の設定ミス
クラウドサービスの利用者側による公開範囲の設定ミスによって、情報漏洩が発生することもあります。
例えば、クラウドサービスの機能がアップデートされた際に、情報の公開範囲の設定が変更されていることを見落とし、本来非公開にしなければならない利用者の情報を意図せず公開してしまった、というケースもありました。
システム障害によるデータ消失
クラウドサービス提供者側のサーバーやデータセンターでシステム障害が発生し、データが消失してしまうこともあります。物理的なハードウェアの劣化や損傷が原因になることもあるため、どのようなサービスでもシステム障害のリスクをゼロにすることはできません。
クラウドサービスを利用する際は、システム障害が発生するリスクを念頭に置いて定期的にデータをバックアップするようにしましょう。
クラウドサービス検討時に情報漏洩対策で確認すべきポイント
クラウドサービスの導入を検討する際は、前提として知っておくべき知識があります。情報漏洩のリスクを抑えて安全にクラウドサービスを利用しながら、万が一情報漏洩が発生した場合にも適切な対応策を検討できるよう、下記の2点を確認しておくことが重要です。
利用するクラウドサービスの特徴とリスク
クラウドサービスの導入を検討する際は、そのクラウドサービス導入の効果と、情報漏洩のリスクを確認して、本当に導入すべきかどうかを判断しましょう。
少なくとも、下記の3点は確認しておかなければなりません。
- クラウドサービスの検討時に確認すべきポイント
-
- 自社の目的や用途に対して適切なクラウドサービスか
- そのクラウドサービスを利用する場合に発生する可能性のある情報漏洩・消失のリスクにはどのようなものがあるか
- リスクの発生確率、発生した場合の被害の範囲はどの程度か
クラウドサービスの導入が決まった場合は、自社にとって適切なサービス提供者を選ぶ必要があります。
クラウドサービスは、大手のITベンダーから中小規模の企業まで、様々な企業によって提供されています。それぞれサービスや強みも異なるため、サービス提供会社は慎重に判断することが大切です。
責任分界点
責任分界点とは、クラウドサービスの提供者と利用者のそれぞれが責任を負う範囲を明確にするための考え方のことです。
クラウドサービスは「IaaS」「PaaS」「SaaS」の3つに大きく分類でき、この分類に応じて責任分界点が異なります。そのため、クラウドサービスを導入する前に、導入しようとしているサービスがこの3つのどれに分類され、情報漏洩・消失が発生した場合にどの範囲で責任を負うのかを確認することが必要です。
SaaSの責任分界点
SaaSとは、クラウド上でアプリケーションやソフトウェアを利用できるサービスです。アプリケーションの利用環境の提供がサービス内容に含まれるため、アプリケーションやミドルウェア、OS、ハードウェアに起因する情報漏洩などのトラブルの責任はサービス提供者側が負います。利用者側が責任を負うのは、クラウド上のデータ管理についてのみです。
PaaSの責任分界点
PaaSとは、アプリケーション開発に必要なプラットフォームをクラウド上で提供するサービスです。ミドルウェアやOS、ハードウェアの提供がサービス内容となることから、その3点に関する責任はサービス提供者側が負います。残りのアプリケーションやデータ管理に起因する責任は、利用者側が負うこととなります。
IaaSの責任分界点
IaaSとは、ネットワークやサーバーといったリソースをクラウド上で提供するサービスです。クラウド上で提供されるのは仮想的なハードウェア環境のみであるため、サービス提供者側が責任を負うのはそれらの点が原因となって発生したトラブルのみです。それ以外のデータ管理やアプリケーション、ミドルウェア、OSに関する責任は利用者側が負うこととなります。
| SaaS | PaaS | IaaS | |
|---|---|---|---|
| データ | ユーザー | ユーザー | ユーザー |
| アプリケーション | |||
| ミドルウェア | サービス提供企業 | ||
| OS | サービス提供企業 | ||
| ハードウェア基盤 | サービス提供企業 |
クラウド利用で情報漏洩を防ぐための社内体制作り
クラウドサービスにおける情報漏洩・消失を防ぐためには、社内での体制を適切な状態に整えることも重要になります。下記の8点は、クラウドサービス利用者側で実施できる代表的な対策です。
1.アカウント情報の適切な管理
利用者のユーザーIDやパスワードなどのアカウント情報の管理不備が原因となり、不正アクセスによる情報漏洩を許してしまった事例は数多く見受けられます。
クラウドサービスは誰もがどこからでも情報にアクセスしやすいという側面を持つため、アカウント情報の管理は徹底しなければなりません。
利用を許可されたユーザーのみが適切な操作を行えるように、パスワードは容易に推測できない複雑なものを設定するなど、自社内では情報システム部門全体でアカウント情報の管理について細心の注意を払う必要があるでしょう。
2.従業員ごとの適切なアクセス権限の設定
従業員それぞれが、業務上必要な範囲のデータにだけアクセスできるような権限の設定を行うことも重要なポイントです。
もし不正アクセスをされたとしても、権限の範囲が狭い従業員のアカウントからのアクセスであれば被害を最小限に抑えられます。アクセス権限の設定は内部不正対策にもなるため、役職の変更などがあった際にはこまめに権限も変更してください。
- あわせて読みたい
3.データのバックアップ
昨今はサイバー攻撃の一種であるマルウェアや、地震などの災害によるサーバーダウンなど、データ消失の原因も多様化しています。
もしデータを1か所にしか保管していない場合、その保管場所で障害が起きると、データをすべて消失するような事態になりかねません。データは定期的にバックアップし、保存先を複数用意することで、トラブルがあった際にも最悪の事態を防ぐことができるでしょう。
4.情報セキュリティに関する従業員教育
クラウド上の情報漏洩を防ぐためには、社内教育を行い、従業員のセキュリティ意識と知識を向上させることも大切です。クラウドの情報公開設定を随時確認するように注意喚起を行ったり、情報漏洩発生時の報告や対応の方法についても周知したりするなど、情報漏洩の発生パターンと対応策を浸透させてください。
社内教育を実施すれば、情報漏洩の発生リスクに日頃から意識が向くようになり、万が一情報漏洩が起きたとしても迅速な対処が期待できるため、被害の拡大を防げます。
情報セキュリティに関する教育や研修は定期的に行い、すべての従業員に知識を定着させることが重要です。
5.OSやアプリケーションの定期的なアップデート
OSやアプリケーションにセキュリティ面の欠陥である「脆弱性」が潜んでいると、マルウェアなどのサイバー攻撃の被害を受けやすくなります。この脆弱性はOSやアプリケーションのメーカーが提供するアップデートによって適宜修正されているため、常に最新の状態にアップデートするようにしましょう。
また、定期的な脆弱性診断を行ってくれるセキュリティベンダーもあるため、より安全の体制の整備に役立ちます。
6.セキュリティソフトの導入
クラウド上の情報漏洩対策として、セキュリティソフトの導入・更新も有効です。セキュリティソフトを導入すれば、効率良くウイルスやサイバー攻撃を検知・駆除・ブロックできるようになるため、情報漏洩の早期対応にもつながります。
なお、セキュリティソフトを導入した後は、常に最新の状態にアップデートさせることも重要です。ウイルスなどの脅威は日々進化しているため、安全性を確保するためにも定期的にソフトを更新し、最新の状態に保ってください。
7.多要素認証の導入
従来のユーザーIDとパスワードを使った1要素による認証に代わり、セキュリティ突破がしにくい多要素認証を導入する企業も増えています。
認証がID・パスワードによる1要素のみの場合は、何かしらの手口でID・パスワードを入手できれば本人以外でもログインできるようになってしまいます。その点、別途指紋情報やモバイル端末の所持などを要求する多要素認証なら、本人以外のログインをより困難にすることが可能です。
8.ログ監視の導入
ログ監視とは、パソコンやモバイル端末などの動作履歴である「ログ」を確認し、不審な挙動がないかを監視することです。自社内の様々なログを適切に監視することで、異常な動作をいち早く検知し、悪意ある第三者による操作や不正アクセスなども察知できるようになります。
また、ログ監視は万が一情報漏洩が起きた際の原因究明にも役立つ上に、従業員へ周知しておけば内部不正の抑制効果も期待できます。
- あわせて読みたい
クラウドでの情報漏洩には適切なツールを導入して備えよう
クラウド上における情報漏洩リスク対策には、適切なサービスの選定と、社内体制の整備の両方が欠かせません。社内整備の一環としてセキュリティソフトやログ監視ツールの導入も検討し、安全にクラウドサービスを利用できるようにしましょう。
豊富な情報漏洩対策機能を搭載したインターコムの情報漏洩対策ツール「MaLion」シリーズは、クラウドサービスにおける情報漏洩対策の強化にもお勧めです。
主な機能として、セキュリティポリシー(パソコンの操作制御ルール)設定やポリシー違反者への警告通知、アプリケーション起動監視、外部デバイスの監視・制御のほか、送受信メール監視、ファイルアクセス監視・制限、Webアクセス監視など各種操作のログ監視が可能で、クラウド上の情報漏洩対策に役立ちます。
クラウドサービス上の情報漏洩対策をお考えの場合は、ぜひ「MaLion」シリーズの導入をご検討ください。
