クラウドサービスとは

クラウドサービスとは、インターネットを介して、サーバーやストレージ、データベース、アプリケーションなどのITリソースを、必要なときに必要な分だけ利用できるサービスの総称です。

従来、企業や個人がITシステムを構築・運用する場合は、サーバーやストレージなどのハードウェアを自社で用意し、ソフトウェアをインストール・管理しなければなりませんでした。これをオンプレミスと呼びます。

しかし、クラウドサービスを利用すれば、これらのハードウェアやソフトウェアを事業者から提供してもらえるため、自社で用意する必要がなくなります。

クラウドサービスは、提供されるサービスの内容によって、下記の3種類に分類されます。

• ・SaaS（Software as a Service）
• ・PaaS（Platform as a Service）
• ・IaaS（Infrastructure as a Service）

それぞれ解説していきます。

SaaSは、ソフトウェアをサービスとして提供するものです。ユーザーは、インターネットを介してソフトウェアを利用できるため、ソフトウェアのインストールやアップデートなどの管理を行う必要がありません。

SaaSの代表的な例としては、Google AppsやSlack、Zoom、Backlogなどが挙げられます。

PaaSは、アプリケーションを開発・実行するためのプラットフォームを提供するものです。アプリケーションを開発・実行するために必要なインフラやツールをクラウド事業者から提供してもらえるため、アプリケーションの開発に集中できます。

PaaSの代表的な例としては、AWS LambdaやAzure App Serviceなどが挙げられます。

IaaSは、サーバーやストレージ、ネットワークなどのインフラを提供するものです。IaaS上で必要なインフラをクラウド事業者から提供してもらい、ITシステムの構築・運用を行います。

IaaSの代表的な例としては、AWS EC2やGoogle Compute Engineなどが挙げられます。

クラウドサービスでは、オンプレミス型のシステムと比較すると、以下のようなメリットがあります。

1. 1. 導入コストを抑えられる
2. 2. メンテナンスが不要
3. 3. システム導入後すぐに使い始められる

それぞれ解説していきます。

オンプレミス型のシステムを導入する場合、サーバーやストレージなどのハードウェアを自社で用意する必要があります。また、ソフトウェアのインストールやアップデートなどの管理も必要になり、初期費用や運用コストが大きくかかる可能性が高いです。

一方、クラウドサービスでは、サーバーやストレージなどのハードウェアやソフトウェアを、クラウドサービス事業者から提供してもらえます。料金も利用した分だけ発生するシステムであるため、初期費用や運用コストを大幅に削減できます。

オンプレミス型のシステムでは、ハードウェアやソフトウェアの保守・管理は自社で行います。そのため、専門的な知識やスキルを持つ人材が必要となり、人件費などメンテナンスの負担が大きくかかる可能性が高いです。

一方、クラウドサービスでは、ハードウェアやソフトウェアの保守・管理をクラウドサービス事業者が行います。そのため、オンプレミス型のシステムより、メンテナンスの負担が軽減されます。

オンプレミス型のシステムを導入する場合、ハードウェアの調達やソフトウェアのインストールなどの工数がかかります。そのため、システム導入にかかる時間が長くなる可能性が高いです。

一方、クラウドサービスでは、インターネットに接続できる環境があれば、すぐにシステムを利用できます。したがって、システム導入にかかる時間を短縮でき、すぐにサービスを使い始められます。

クラウドサービスは、インターネットを介して利用するサービスであるため、オンプレミス型のシステムと比較して情報漏洩のリスクが高くなるデメリットがあります。ここからは、クラウドサービスにおける情報漏洩の原因について解説していきます。

クラウドサービスにおける情報漏洩の原因として最も多く挙げられるのが、サイバー攻撃です。サイバー攻撃には、以下のような種類があります。

• ・マルウェア感染：不正なソフトウェアを感染させ、情報の盗難やシステムの破壊を試みる攻撃
• ・SQLインジェクション攻撃：Webアプリケーションの脆弱性を悪用して、データベースに不正なSQL文を挿入し、情報を盗み取ったり、データベースを改ざんしたりする攻撃

クラウドサービスはインターネットを介して利用されるため、最新のセキュリティソフトの導入や専門家のアドバイスに基づくセキュリティ対策の実施が重要です。

アカウントのパスワードや認証情報の管理が不十分な場合、不正アクセスにつながる恐れがあります。また、アクセス権限の設定ミスにより、本来アクセスが許可されていないユーザーが情報にアクセスできる場合もあります。

不正アクセスをされてしまうと、クレジットカード情報や住所などの個人情報が流出してしまう可能性が高いです。これにより、企業への信頼を損なうだけでなく、金銭的な被害が発生することも予想されます。

クラウドサービスでは、ユーザーが自らアカウントやアクセス権限を管理する必要があるため、これらの管理の徹底が重要です。

クラウドサービスでは、データがクラウド事業者のサーバーやデータセンターに保存されます。そのため、自然災害やサーバー障害といった災害や障害が発生した場合、データが消失したり、外部に流出してしまいます。

自然災害は、予測が難しく被害も甚大になる可能性があります。クラウドサービスではデータのバックアップや復旧機能などが提供されていますが、自然災害によるデータ消失のリスクを完全に排除はできません。

そのため、万が一の場合に備えて、自社の責任でデータのバックアップの取得を行うようにしてください。

ここまで解説したクラウドサービスの情報漏洩の原因を踏まえて、トラブルを発生させないような対策を講じるのが重要です。しかし、実際にはクラウドサービスでの情報漏洩はあとを絶ちません。

本章では、実際に発生したクラウドサービスの情報漏洩のインシデント事例について紹介します。

2021年4月22日、内閣府などが使う、株式会社ソリトンシステムズのファイル共有ストレージ「FileZen」に対して不正アクセスがなされたと発表されました。脆弱性を突かれ、ストレージ上のファイルに対する不正操作が行える状態になっていました。

内閣府LAN内部への被害は認められませんでしたが、231人分の公開されていない氏名や所属、連絡先などが流出した可能性があります。

今後の対応として、外部からの攻撃に対する監視機能の強化やファイアウォールの設置、職員に対する外部からの攻撃リスクの注意喚起をしています。

参照 : 内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて

2013年、環境省・農林水産省・国土交通省・厚生労働省・復興庁の官公庁で、機密情報を含むファイルやメールなどの内部情報が、ファイル共有サービスの設定ミス（ヒューマンエラー）により、誰でも閲覧できる状態になっていたと発表されました。

漏洩した情報には、各官公庁の機密データだけでなく、厚生労働省の「医療機関利用者の患者情報」や環境省の「条約交渉に関する状況報告」なども含まれています。

また、これらの官公庁では、「Googleグループ」によりファイルの共有を行っていましたが、「すべての情報を公開」の設定にしたまま利用していたため、誰でも閲覧可能となっていました。

これまで解説してきたように、クラウドサービスは利便性が高い一方で、デメリットやリスクも存在します。安心してクラウドサービスを利用するためには、情報漏洩対策を講じるのが重要です。

ここからは、クラウドサービスを活用するうえで知っておきたい対策を5つ紹介します。

多要素認証（Multi-Factor Authentication）とは、パスワードに加えてSMSや指紋など、複数の要素を組み合わせて認証を行う仕組みです。

具体的にはこれらの3要素のうち、いずれか2要素以上を組み合わせます。

1. 1. 知識情報 : パスワードや秘密の質問など、本人のみが知っている知識
2. 2. 所持情報 : スマートフォンやICカードなど、本人のみが所持しているもの
3. 3. 生体情報 : 指紋や虹彩など、本人の身体の情報

パスワードのみの認証では、パスワードが盗まれた場合、簡単にアカウントにログインされてしまいます。

しかし、多要素認証を活用すれば、パスワードが盗まれたとしても、別の要素が一致しなければログインできないため、情報漏洩のリスクを大幅に低減できます。

監査ログとは、クラウドサービスの利用状況やアクセスログなどの記録です。監査ログを取得しておくと、情報漏洩が発生した場合に原因を特定し、被害を最小限に抑えられます。

監査ログには含まれる情報は、以下の通りです。

• ・ユーザーID
• ・端末ID
• ・日時
• ・アクセスされたネットワーク
• ・アクセスされたファイル
• ・実行された内容
• ・ソフトウェアの起動や終了

また、監査ログを定期的に分析すると、不正アクセスや異常な利用を早期に発見でき、情報漏洩を未然に防げます。

セキュリティソフトとは、ウイルスやマルウェアなどの脅威からコンピューターを保護するソフトウェアです。

クラウドサービスでは、インターネットを介してデータをやり取りするため、セキュリティソフトを導入すると情報漏洩のリスクを軽減できます。セキュリティソフトを導入したら、日々進歩するウイルスに対応するため、定期的にアップデートを行うようにしてください。

また、セキュリティソフトを導入するだけでは、情報漏洩を防げません。セキュリティソフトの機能と併せて、ほかの情報漏洩対策も講じるのが重要です。

IPやデバイス認証とは、アクセス元のIPアドレスやデバイスの情報を基に認証を行う仕組みです。例えば、社内ネットワークからのアクセスのみを許可する、などの設定です。

デバイス認証では、アクセス元のデバイスの情報を基に認証を行います。例えば、特定の端末からのアクセスのみを許可するなどの設定が可能です。

ただし、IPアドレスやデバイスを偽装するなどの対策を講じると、突破される可能性もあるため、IPやデバイス認証の活用には、ほかのセキュリティ対策との併用が不可欠です。

セキュリティポリシーは、組織のセキュリティ対策の基本となるものです。セキュリティポリシーを策定し、利用者に周知・徹底し、情報漏洩のリスクを低減させます。

ただし、セキュリティポリシーを策定しただけで、利用者がそれに従わないのでは意味がありません。そのため、利用者に対してセキュリティ教育を実施し、セキュリティポリシーを遵守する重要性を理解してもらう必要があります。

そのため、セキュリティ教育は、定期的に実施するのが重要です。利用者の意識を高め、セキュリティポリシーを遵守する行動を促します。

日本パープルが提供するCoach Mamoru（コーチマモル）は、お客様のニーズに合わせて柔軟に情報セキュリティ対策をカスタマイズできる、コンサルティングサービスを提供しています。

これまでに300社以上のコンサルティング実績を持ち、お客様の会社規模や事業計画に合わせて、通常社内では見過ごされがちな課題やリスクを綿密に評価し、提案・対応いたします。

セキュリティに関する不安を抱かれている場合は、お気軽にご相談ください。

おすすめサービスはこちら