クラウドにおける情報セキュリティ対策について簡単に説明
通常の産業での7年が1年といわれるIT産業。クラウドサービスもここ数年で急速に普及したITサービスの一つです。そんなクラウドサービスを利用する企業も多いかもしれませんが、クラウドセキュリティに関して心配だという情報セキュリティ担当者の方も多いのではないでしょうか?
今回は、クラウドセキュリティ対策のポイントをご紹介していきたいと思います。
まずは情報セキュリティの前提条件を考えよう
クラウドセキュリティと大層な名前がついていますが、本質的には情報セキュリティであることを忘れてはいけません。情報セキュリティ上で最も重要な要素はCIAとも呼ばれる情報セキュリティ三大要素のバランスです。これは、機密性 ・完全性 ・可用性の3つのことで、一言で言ってしまえば「情報にアクセスしても良い人が完全なデータにアクセスすることができて、アクセスしてはいけない人が改ざん、データ破壊、アクセスなどをできないような状態を保つこと」なのですが、クラウドセキュリティでもこの三大要素に意識しながらセキュリティを維持する必要があります。
次にクラウドサービスの特徴を整理していきましょう。
クラウドサービスの特徴とは
クラウドサービスの特徴は、以下のようなものです。
- 端末にデータを残さずに情報にアクセスすることができるため、可用性に優れる
- 常に最新のデータにアクセスすることができるため、完全性にも優れる
- インターネット上という管理しにくい場所に情報があるため、機密性に劣る
また、クラウドサービスは他の事業者(クラウドサービスを提供する企業)に情報を預けるという側面もあります。ただし、これはある種でリスク回避であるとも言えるでしょう。――というのも、「自社で管理するからセキュリティは完璧である」と自信を持って言える企業は少ないと思います。一方のクラウドサービス提供事業者はそれなりに技術者を揃えておりますので、物理的なセキュリティ対策は万全な状態であることが一般的でしょう。――このように考えると、自社でリスクを保有するよりも情報セキュリティリスクを委託することで、セキュリティを高めているという見方もできるのです。
クラウドセキュリティを保つ上で重要なポイント
クラウドサービスを利用するにあたっては、上記でも紹介した通り、機密性に特に注意する必要があります。そんな機密性を保つためには、以下のようなポイントに注意する必要があるでしょう。
・データの暗号化
暗号化通信はもはやインターネットを利用するにあたっては必須の技術でありますし、主要なクラウドサービスは暗号化通信を導入しているでしょう。ただし、どんなにセキュリティが盤石なサービスを利用していたとしても、Wi-Fiなどに接続してクラウドサービスを利用するときには、端末⇔Wi-Fi間の通信が傍受される可能性もあります。
完全に暗号化することができる状態で接続することができるようにセキュリティ体制を構築する必要があるでしょう。
・バックアップ
バックアップとは、もととなるデータを別の場所に保管しておくことを意味しますが、クラウドサービスを利用してリスクを外部委託しているからといって油断してはいけません。クラウドサービスは多くの企業が利用するものであるため、セキュリティが強固であっても攻撃にさらされる可能性は非常に高いのです。
・厳格なアクセス制御
クラウドサービスは可用性に優れていますが、可用性に優れすぎるというのも困りものです。なぜなら、本来アクセスできてはならないユーザーが情報にアクセスできてしまう可能性があるからです。このため、クラウドサービスの多くはワンタイムパスワードの利用など厳格なアクセス制御が搭載されています。
・マネジメントシステムの構築
組織的にクラウドサービスを利用する場合には、そのクラウドサービスを利用するにあたっての組織の方針やルールを定めるのが良いでしょう。こういったケースでは、マネジメントシステム
を構築し、リスクアセスメントを行う必要が出てきます。
マネジメントシステムの構築に関してはISO 27017という規格がISO27001 のプラグインとして存在しておりますので、こういった規格を参考に構築を行うと良いかもしれません。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい