更新日:2020.10.29
【目次】
・クラウドサービスの特徴
・クラウドサービスの安全性が信頼できる理由
・自社で行うべき8つの安全対策
・まとめ
クラウドサービスの特徴
クラウドサービスの特徴は、クラウド事業者が管理するデータセンターのサーバーやアプリケーション、ストレージなどを低コストで利用できることです。ITに詳しくない人でも簡単に使える点や、いつでも利用の開始・停止ができる点も魅力です。
2018年に政府がクラウドの利用を優先させる「クラウド・バイ・デフォルト原則」の方針を打ち出したことも追い風となり、自治体や企業の間で急速にクラウドの普及が進んでいます。
※参考:クラウドサービスの安全性評価に関する検討会について|総務省、経済産業省
オンプレミス型との違い
オンプレミス(on premises)とは、サーバーなどのハードウェアを自社内に設置する方法です。クラウドサービスと大きく異なる点は、ハードウェアの購入やシステム開発などの初期費用がかかることです。加えて、管理運用やセキュリティ対策も自社で行う必要があり、IT資源を拡充する際にはさらにコストが発生します。
一方、クラウドサービスを利用すれば初期費用がカットでき、IT資源の管理やメンテナンス作業も発生しません。いつでも最新の技術を安心して使えて、ランニングコストも最小限に抑えられます。
クラウドサービスの安全性が信頼できる理由
クラウドサービスの安全性が信頼できる理由として、適宜ソフトウェアのアップデートがされることや、自然災害の被災が影響しないことが挙げられます。それぞれ詳しく解説します。
迅速にアップデートされる
安全性が信頼できる理由のひとつは、サービスに必要なソフトウェアが迅速にアップデートされるからです。アップデートとは、ソフトウェアの脆弱性を修正するプログラムを、システムに追加することを意味します。脆弱性を放置すると、サイバー攻撃の標的になるリスクが高まります。
WindowsなどのOSやウイルス対策ソフト、アプリケーションなどのアップデートは、クラウド事業者が実施します。そのため、利用者が作業する必要はありません。セキュリティをITのプロに任せられることが、クラウドサービスの大きな魅力です。
社内の停電や自然災害の被災が影響しない
社内の停電や自然災害によるダメージを避けやすいことも、安全性が信頼できる理由として挙げられます。一般的にクラウドサービスのデータセンターは、水害や地震などの影響を受けにくい場所に作られます。自家発電設備や予備電源、耐震設備、消火設備などを完備した施設内で運用されるため、自社内にサーバーを置くよりも安全です。
東日本大震災や多発する自然災害をきっかけに、クラウドサービスを災害対策として利用する企業や自治体が増えています。
自社で行うべき8つの安全対策
クラウドサービスを利用する際に、自社で行うべき8つの安全対策について解説します。
アカウントを厳密に管理する
最も基本的な安全対策として、アカウントの厳密な管理が挙げられます。IDやパスワードなどのアカウント情報だけで手軽に利用できることがクラウドサービスのメリットですが、アカウント情報を知っている人なら誰でもログインできるということなので注意が必要です。
アカウントを持つメンバーや各メンバーが利用できる範囲は、あらかじめ決めておきましょう。厳密な管理ができれば、トラブルが起きた場合もすみやかな原因究明につなげられます。退職者のIDも忘れずに処理することが大切です。
バックアップをとる
バックアップをとることも、安全対策として重要です。オンプレミス型でもクラウドサービスでも、コンピューターが故障する可能性を考慮して定期的にバックアップをとりましょう。システムダウンでビジネスチャンスを逃したり、データが消えたりする可能性も皆無ではありません。
クラウド技術の進歩によって、クラウドストレージを利用するバックアップ方法が一般的になりました。自動バックアップができるサービスなら、作業負担を大幅に軽減できます。
データの整理整頓を心がける
データの整理整頓を心がけることも大切です。組織共通のデータ管理ルールを事前に作っておくことが望ましいでしょう。複数のストレージにデータを保管するような場合でも、ルール通りに整理整頓されていればデータ紛失を防ぎやすくなります。
データ管理のコツは、適切にフォルダーを分けることやファイル名に日付を使って時系列的に管理することです。ストレージ量には限界があるため、不要になったデータは適切に消去しましょう。
IDやパスワード認証での侵入をふせぐ
IDやパスワード認証での侵入をふせぐための対策も行いましょう。「複数のサービスで同じパスワードを使わない」「パスワードを書いたメモなどを人目に触れる場所に置かない」などの基本的な対策は徹底してください。
また、「できる限り強固なパスワードを使う」「定期的にパスワードを変更する」なども大切です。IDやパスワード認証に加えて、指紋などの生体認証やSMS認証などの「2段階認証」を用いる方法も有効です。
危機管理について全体で共有する
組織全体で危機管理に関する意識を共有しましょう。情報漏えいの原因には、端末の紛失や置き忘れ、誤操作といった初歩的なミスが多く、外部からの不正アクセスは2割程度にとどまっています。(2018年時点)
内部の者が故意に行った不正が、多大な損害を引き起こした事例も少なくありません。些細なミスや認識の甘さが重大な事故につながることを、組織全体で共有しましょう。そのための情報セキュリティポリシーの策定や社員教育も重要です。
※参考:
2018年 情報セキュリティインシデントに関する調査結果~個人情報漏えい編~(速報版)|NPO日本ネットワークセキュリティ協会 情報セキュリティポリシーの導入と運用|国民のための情報セキュリティサイト 総務省
WiFi利用の場合は安全性を確保する
WiFi利用の安全性を確保することも大切です。公共の場所などで使えるオープンネットワークは、安全性の低い通信が混在しているため、利用を避けましょう。
また、インターネットの利用では、通信が暗号化されているかどうかの確認も必要です。サイトのアドレスが「https:」からはじまっていれば、暗号化されているので安全です。暗号化されていない通信はデータを読み取られる恐れがあるため、なるべくアクセスを避けた方がよいでしょう。
WAFを利用する
サイバー攻撃を防止するためには、WAFの利用も検討しましょう。WAFとは「Web Application Firewall」の略で、Webアプリケーションに対するサイバー攻撃を可視化して遮断する仕組みです。WAFの導入によって、クラウドサービスの安全性が高まります。
WAFは、アプライアンス型とソフトウェア型、クラウドサービス型の3つに大別できます。このうち最も広く利用されているものが、手軽に利用できて管理運用の必要がないクラウドサービス型です。利用にあたっては、IPアドレスの数やピーク時の情報量にあわせたプランを選択しましょう。
※参考:Web Application Firewall(WAF)の導入に向けた検討項目|独立行政法人情報処理推進機構
海外にデータセンターがあるサービスは避ける
クラウドサービスのデータセンターが設置されている国を確認することも大切です。海外にデータセンターがある場合、その国の法律や国内事情に影響を受ける恐れがあるためです。
また、IT技術が日本よりも低い場合や国の治安が悪い場合は、情報漏えいのリスクが高まります。電力供給が日本ほど安定していない国も多いため、突然の停電でサービスが停止する可能性もあります。個人情報保護の観点からも、海外にデータセンターがあるサービスの利用は避けた方が無難です。
まとめ
クラウドサービスの特徴は、安全性の高いサービスを低コストで手軽に利用できることです。紹介した8つの安全対策を取り入れて、情報漏えいや不正アクセスをしっかりと防ぎましょう。
リコーは、厳しい基準をクリアしたさまざまなクラウドサービスを提供しています。導入にお悩みでしたら、ぜひご検討してみてください。
|
RICOH Chatbot Service |
|---|
|
紹介資料 |
|---|