好きな所から読む
パブリッククラウドとは?
サーバーやストレージ、回線などのネットインフラやソフトウェアなど、全てのリソースをクラウド上で自由に利用することです。個人と企業が幅広く利用できるよう、不特定多数のユーザーを対象に各ベンダーはサービスを提供しています。パブリッククラウドを利用することで、ユーザーはネットインフラやソフトウェアなどを準備する必要がありません。利用したいサービスの使用料金を払えばすぐに利用できるからです。
近年は働き方改革の影響もあり、自宅やサテライトオフィスなどオフィス外で働く機会も増えました。コスト面や運用面で多くのメリットがあることから、ネットインフラを全て自社で用意し、運用・管理を行っていたオンプレミスからGsuiteなどのクラウドサービスに移行する企業が増えています。
今後もクラウドサービスへの移行を行う企業の増加が予想される中、パブリッククラウドは多くのメリットが見込めるクラウドシステムとして、注目されています。
パブリッククラウドの4つのメリットとは?
低コストで運用可能、効率的な運用が可能、働き方改革を後押しするなどのメリットが挙がりました。
低コストで導入&運用可能
ハードウェアやネットインフラの追加購入は必要ないので、初期費用は掛かりません。自社で利用したいサービスをオンライン上で申し込めばすぐに利用できるので、導入もスムーズです。ランニングコストも必要な分だけ必要な料金を払う形なので、コストの無駄を極力無くせます。
多くのベンダーが月額単位やユーザー単位での料金設定を決めており、必要に応じてユーザーの増減にも柔軟に対応可能です。また、ベンダーによっては無料のトライアル期間を設けているサービスもあり、操作性や機能の特徴を確認しながら自社にとって最適なサービスかどうか見極められます。
アクシデントに対応する必要がない
サーバーやシステムでのトラブル対応はベンダーが行うので、管理者の業務負担軽減につながります。オンプレミスでは対応しなければならないサーバー攻撃やマルウェアによるシステムダウンや不具合などに、対処する必要がありません。アクシデントにはサービスを提供するベンダーが対応するので、セキュリティインシデントの心配をせずに利用可能です。
セキュリティ業務経験が浅い社員しか社内にいない場合でも、業務をこなしながら知識や経験を蓄積することができます。
アクセス地点は問わない
自宅やカフェ、サテライトオフィスなどインターネット上に接続できる環境が確保されていれば、オフィスにいなくてもアプリやクラウドサービスを利用可能です。業務上に必要なツールはクラウド上に集約されているからです。そのため、テレワーク導入や在宅勤務など場所を問わない働き方の導入加速につながります。
場所を問わない働き方の導入は社員と企業双方にメリットがあります。開発や企画を関連企業や取引先と進めていく機会が多い企業も、今後は業務に必要なツールをクラウド上に集約することで、コミュニケーションや業務の進捗確認をスムーズに行うことが可能です。
| 社員 | 企業 | |
| 内容 |
|
|
効率的な運用が可能
OSやソフトウェアのアップデートはベンダー側が更新作業を行います。更新作業やメンテナンス作業を行う必要が無いので、管理者の業務負担軽減につながります。また、古いバージョンを使い続けることで発生するセキュリティインシデントのリスク回避にも効果があります。
パブリッククラウドの3つのデメリットとは?
カスタマイズ性の低さ、アクシデント時にサービスが使えないこと、サードパーティーとの互換性が無い場合があるとのデメリットが挙がりました。
カスタマイズ性の低さ
既にサービスとして完成されているものを利用するので、自社にとって使いやすい形にカスタムすることはできません。提供されるサービスへの使い勝手や操作性に慣れていくことが求められるので、オンプレミスで使用していた時よりも窮屈に感じる可能性があります。場合によっては自社にとって不必要な機能にコストを払う場合や突然のバージョンアップによって管理画面や操作性に戸惑うことも少なくありません。
アクシデント時にサービスが使えない
ベンダーがアクシデントに対応するのはメリットであり、デメリットでもあります。ソフトウェアやサーバーで通信障害やシステムダウンが起きた場合、復旧までそのサービスは使用できません。復旧の進捗状況を掴めずサービスも利用できないため、業務の停滞やビジネス機会の損失を招きます。
自社で思い通りにコントロールできない部分がある面は、デメリットと言えます。
サービスに互換性が無い場合がある
導入したベンダーのサービスが全ての企業のサービスに対応できているわけではありません。場合によっては特定の企業のサービスが利用できない可能性があります。例えば、AWS(Amazon Web Services)を利用してい場合、Oracleのソフトウェアは使える一方、Google Cloud Platform では使えないといった場合があります。
パブリッククラウドが抱えるセキュリティリスクとは?
ユーザー側のアクセス制限や設定ミス、クラウドサービスにおける全てのことをベンダーが対応してくれるといった認識の違いが挙げられます。
アクセス管理の設定ミス
社内の一部の人にしか閲覧できない設定にしなければいけないのにも関わらず設定作業を怠り、外部に公開されている状態が続いた結果、情報漏洩につながったといったケースが散見されます。パブリッククラウドのメリットの一つであるすぐに設定作業が終わり、利用できるといった利便性の高さですが、情報漏洩やクラウドサービスへの理解度が低いと、情報漏洩のリスクを高めるきっかけになります。
実際にアメリカではAWSを採用していた金融機関Capital One Financialで、1億人以上のクレジットカード情報や氏名、住所などの個人情報が盗まれました。
原因はファイアウォールの設定ミスだと言われています。こうした事例から個人情報を業務で多く扱う企業は、情報管理やセキュリティ対策についてもっと慎重になる必要があります。
特にアクセス権の制限は外部からの情報漏洩だけでなく、内部犯行を防ぐためにも重要です。所属する部署での業務に関連しないデータファイルやWebサイトの閲覧を禁止するなど、企業の厳格なポリシーに基づくアクセス管理が求められます。
アカウントのハッキング
犯罪者によるユーザーID/パスワードのハッキングによる情報漏洩のリスクです。パブリッククラウドやオンプレミス問わず、犯罪者がターゲット企業の情報資産を狙う上で社内ネットワークに侵入する手段として最も多いのが、アカウント情報のハッキングです。業務が忙しいと複数のクラウドサービスやWebサイトごとにパスワードを使い分けるのが面倒になり、単一のパスワードの使い回しや文字数が短く解読しやすいパスワードに偏りがちです。
犯罪者からパスワードをハッキングされないためにも、文字数が長い記号やアルファベットも万遍なく入った規則性がないアルファベットを設定しましょう。そうしなければパスワードリスト型攻撃の被害にあいかねません。そして、パブリッククラウドにはWebログイン、SSH、APIなど複数のログイン手段がありますが、自身が利用しないアクセス手段以外はログインできないように設定しておくべきです。
設定が漏れていると、犯罪者が不正アクセスを試みてID/パスワードをハッキングされる可能性が高まります。
責任の範囲を知る
パブリッククラウドにおける全てのことに対して、ベンダーが対処してくれるわけではないと理解する必要があります。ベンダーが対応するのは、自社が提供するサービスを正しく運用・管理していくことです。つまり、AmazonはAWSを正しく機能するように、通信環境やネットインフラの整備などユーザーが使用できる環境は整えます。
一方、OSやアプリケーション内の構築や設定、ID管理などの運用は全てユーザーで行っていかないといけません。つまり、クラウドサービス内で起きるセキュリティ管理はユーザー自身が行う必要があるのです。オンプレミスでは情報資産を守るための仕組み作りは、システム部門やIT管理部門が担っていました。
使い方や設定を間違えたとしても、システム部門が作った防波堤により大惨事につながる可能性は低いままでした。パブリッククラウドの場合は情報資産を守る防波堤が作られない状態で運用がスタートする機会が多々あるため、組織全体でセキュリティポリシーやアクセス制限の徹底、情報資産への意識向上が必要です。
情報漏洩対策を行うためには?
プライベートクラウドの併用、セキュリティツールの導入、セキュリティ教育の徹底が挙げられます。
プライベートクラウドの併用
クラウドサービスを組み合わせて併用できるハイブリッドクラウドの導入により、自社専用のクラウド環境を構築できるプライベートクラウドとの併用が可能です。プライベートクラウドを組み合わせることで、セキュリティ性の向上や機密情報を強固な仕組みで保護できます。プライベートクラウドの特徴を紹介します。
プライベートクラウド
自社専用のクラウド環境を構築することです。オンプレミスで行っていたように自社が利用しやすい形でシステムの設計と運用が可能です。部署やチーム、グループ企業ごとにアクセス権の制限やセキュリティポリシーを独自に設定できるので、柔軟性と効率性に富んだシステム運用ができます。
また、顧客データや従業員の個人情報、技術データなどの機密情報は独自のセキュリティポリシーに基づいて保護することができ、高いセキュリティレベルを保ちながら管理が可能です。そのため、重要な機密情報はプライベートクラウドで保管を行い、重要性の低い情報はパブリッククラウドで保管をするといった対策が取れます。両者の連携は仮装ネットワーク環境を構成するVPN(Virtual Private Network)によって連携します。
情報の保管場所を複数持つことで内外部の情報漏洩対策だけでなく、万が一災害やセキュリティインシデントが発生した場合でも、被害を最小限に抑えられます。
セキュリティツールの導入
自社のセキュリティ対策やIT環境の課題を考慮したセキュリティツールを導入します。
様々なセキュリティツールがありますが、大切なのはマルウェア感染やサイバー攻撃の予防とサイバー攻撃やマルウェア感染が起きたとしても、被害を最小限に抑えられる仕組みを作ることです。
犯罪者の知識・技術向上や保護するべきデバイス機器の増加などによって、不正アクセスやマルウェアの侵入を完全に防ぐことは困難です。
ファイアウォールに検知されにくいWindowsのPowershellを活用したファイルレス・マルウェア、業務上使用頻度の高いエクセルやワードにマルウェアを仕込むビジネスメール詐欺など、見分けが付きにくいサイバー攻撃も多くなっています。
そのため、脅威の侵入を防ぐことに力を注ぐのではなく、侵入されてもいかに素早く被害を食い止められるかがカギとなります。
例えば、スマートフォンやPCをエンドポイントと位置づけてセキュリティ監視や脅威の原因を隔離するEDR(Endpoint Detection and Response )、社内ネットワークを24時間監視するプロフェッショナル集団SOC(Security Operation Center)、マルウェア対策やユーザーの行動を可視化する機能を備えたUTM(Unified Threat Management・総合脅威管理)など、自社に合ったセキュリティツールを導入してください。
セキュリティ教育の徹底
特に重視したいのは、近年増加している内部漏洩に関しての教育です。内部漏洩が起きると企業にとって様々な被害が起きるだけでなく、企業が決めたルールを破って情報を流出した社員は一生を棒に振るいます。例えば、企業が持ち込みを認めていないにも関わらず許可なく業務に私物であるスマートフォンやノートPC、クラウドサービス持ち込んで情報漏洩が起きた場合、莫大な賠償金を払わないといけません。
情報漏洩の危険性を知ることで、今後のデバイス機器の使い方や情報の扱い方に変化が生まれます。テレワークの導入によって監視の目が無くなりつつありますが、マニュアル配布やビデオ会議によってセキュリティ教育を行う時間を設けることが大切です。
