近年、デジタルトランスフォーメーション(DX)の推進やテレワークの普及により、オンプレミスからクラウドへの移行を検討している企業が増えています。
一方で、総務省が公表している令和2年版の情報通信白書によると、「クラウドサービスを利用しない理由」として、「必要がない」の次に最も多いのが「情報漏洩などセキュリティに不安がある」となっており、クラウドに対するセキュリティへの不安は依然として根強く残っているのが現状です。
こうしたセキュリティ面の不安を解消し、クラウドの導入を前向きに進めるためには、利用予定のクラウドサービスが、あらゆるセキュリティ対策の根幹となる「情報セキュリティの3要素」(CIA)を満たしているか、移行前にしっかりと確認しておく必要があります。
そこで今回は、クラウド移行にあたって検討したいセキュリティ要件について、それぞれ機密性(C)・完全性(I)・可用性(A)の観点からお伝えします。
・オンプレスミスと比較してクラウドのセキュリティが気になる
・クラウド移行後にセキュリティ面で不安を残したくない
・具体的にどのようなセキュリティ要件を検討すべきか分からない
とお考えの情シス担当者の方は、ぜひご一読ください。
1.クラウドにおける情報セキュリティ対策
そもそも「情報セキュリティ」とは、企業が保有する情報資産について、下記3要素を確保することを指します。
・機密性(Confidentiality):情報にアクセスできる者を制限する
・完全性(Integrity):情報が改ざん、破壊されていない状態を保つ
・可用性(Availability):必要な時にいつでも情報にアクセスできる
クラウドは、セキュリティ対策の大部分がサービス事業者に依存するため、自社基準で高いセキュリティレベルを追求しにくい点が特徴です。
情報セキュリティの管理を自社のコントロール下に置くことが難しいからこそ、サービス事業者が提示するSLAに対し、会社としてどこまでリスクを許容するか、「情報セキュリティの3要素」(CIA)に沿ってよくよく吟味する必要があります。
2.クラウド移行前に検討したいセキュリティ要件
機密性(C):アクセス権限の設定
必要も無いのにすべての社員が同じアクセス権限を持っていると、その分情報漏えいやデータの改ざんといったセキュリティリスクが高まってしまいます。
各ユーザーに対して職務遂行のために最適なロールを割り当てられるように、アクセス権限の設定に関しては以下の要件を確認するようにしましょう。
・許可された者のみ情報にアクセスできるか?
・アクセスの「拒否」はできるか?
・権限が剝奪された場合は確実にアクセス不可となるか?
・どのようなロールを設定できるか?(例:管理者/登録者/閲覧者 など)
・ロールに応じて権限の切り分けができるか?
(例:管理者は「閲覧・編集・削除」すべて可/登録者は「閲覧・編集」のみ可/閲覧者は「閲覧」のみ可)
・ロールの数はどうするか?(※数はできるだけ少ない方が運用しやすい)
・誰をどのロールに割り当てるか?
・アクセス権限の設定者(付与/変更/削除)を限定できるか?
・管理者権限用のアカウントを独立して用意できるか?
機密性(C):ID・パスワード認証
クラウドサービスへの不正アクセスや不正ログインを防止するには、ID・パスワードの厳格な管理が欠かせません。
安全なID・パスワードの管理に向けて、以下の要件を確認しておくと良いでしょう。
・自社パスワードポリシーの条件を満たすか?
・認証回数に制限はあるか?(例:10回ログイン失敗でアカウントロック)
・二要素認証は導入可能か?
・定期的にパスワードを変更する必要があるのか?
機密性(C):デバイスの接続許可/拒否
通常、クラウド上に保存されたデータには、あらゆるデバイスからアクセスが可能です。
しかし、制限無しであらゆるデバイスからの接続を認めていると、外部からのサイバー攻撃被害に遭いやすくなるほか、内部不正による情報漏えい等も誘発してしまう恐れがあります。
接続許可/拒否に関しては、以下の要件を確認しておくと良いでしょう。
・国による接続許可/拒否はできるか?
・接続元IPアドレスによる許可/拒否はできるか?
・接続可能な端末の設定はできるか?(例:会社貸与のデバイスのみアクセス可とする)
機密性(C):ログの管理
万が一不正アクセス等により情報漏えい事故が発生してしまった場合、後から原因究明に向けて効果的に追跡調査を行うためには、ログの適切な取得と保管がカギとなります。
また、ログの監視や分析を行うことで、不正アクセスの兆候をいち早く察知し、被害を最小限に抑えることができます。
例えば、情報システムへのログイン履歴が記録される「認証ログ」の場合、「ログインの連続失敗回数」や「認証を試みた間隔」などの分析を通じてブルートフォース攻撃への耐性を検証し、その結果を踏まえてさらに有効な対策を講じることができます。
ログに関しては、以下の要件を確認しておくと良いでしょう。
・どのようなログを取得すべきか?
(操作ログ、認証ログ、アクセスログ、イベントログ、通信ログ、設定変更ログ、エラーログ など)
・そのログをなぜ取得するのか?
・実際に取得されるログの種類は何か?
・ログはどこに保管されるか?
・ログの保管期間は?
・ログにアクセスする者を限定できるか?
・ログの削除/改ざん防止策は施されているか?
・ログの監視や分析は可能か?
機密性(C):通信やファイルの暗号化
一般的に、クラウドにはインターネット経由でアクセスすることから、通信データを暗号化せずに送受信を行うと、通信経路上で盗聴や改ざん、なりすまし等の被害に遭う危険性があります。
悪意のある第三者から大切な情報資産を守るためにも、SSLによる通信の暗号化が行われているか、しっかりと確認するようにしましょう。
なお、通信の暗号化に加えて、クラウドへ保管するデータ自体を暗号化できるストレージサービスもいくつか存在します。
保存データの暗号化は自動的に行われ、認証されたユーザーのみデータが復号された状態で表示されるため、情報漏えいの防止に役立ちます。
機密性(C):ウィルス対策
オンプレミスにおいて自前でウィルス対策ソフトを導入していた場合、クラウド移行後もそのウィルス対策ソフトが問題なく適用できるとは限りません。
クラウドでは別途専用ツールが必要になるのか、もし必要になる場合はオンプレミス時と同等のセキュリティレベルを維持できるのか、については確認しておくと良いでしょう。
機密性(C):脆弱性対策
近年、アプリケーションやOSの脆弱性を悪用したサイバー攻撃による被害が頻発しています。
これら脆弱性の隙を突いた攻撃を防ぎ、情報漏えい等につながるリスクを軽減するために、サービス事業者側でどのような対策を講じているかについては事前にチェックしておきましょう。
また、クラウドサービス利用中にセキュリティ上の問題が随時発生する可能性もありますので、定期的に安全性を確認できる「クラウド脆弱性診断ツール」導入の有無についても、先を見据えて検討しておくと良いでしょう。
完全性(I):バックアップ
クラウドでもハードウェア故障や人的ミス等によるデータ消失リスクはオンプレミスと同じように残りますが、利用規約によりデータ消失時の保証は一切なされない場合がほとんどです。
そのため、事実上クラウド上に預けたデータのバックアップは必須といえます。
バックアップは、ランサムウェアによるデータの暗号化に備え、アクセス者を限定した上で、ネットワークから切り離された完全オフラインの状態で保管しておくのが望ましいです。
以上より、バックアップの取得にあたって以下の要件は確認しておくと良いでしょう。
・バックアップの対象範囲は?(フルバックアップ or 重要なデータのみ)
・バックアップの取得頻度は?(日次 or 週次 or 月次)
・バックアップの保存期間は?(~世代)
・バックアップの保管場所は?
・バックアップの作業担当者は?
完全性(I):ごみ箱
誤操作などによりデータを間違えて消してしまったとしても、「ごみ箱」機能があれば一定期間は復元可能な場合が多いです。
保存期間はサービスごとに異なりますが、いずれにしても一定期間を過ぎると復元はできなくなります。
「ごみ箱」機能に関しては、以下の要件を確認しておくと良いでしょう。
・ごみ箱の保存期間は何日間か?
・ごみ箱からデータを復元できる者は?
・どの段階でデータが復元不可能になるか?
可用性(A):データセンター
海外のデータセンターを利用する場合、各国によってデータ保護に係る法規制が異なるため、その国の法律の実態をよく理解せずにデータを不用意に預けてしまうと、場合によっては法令違反とみなされる可能性があります。
また、国によっては犯罪捜査のためにデータセンターの差し押さえが認められている事例もあり、もし保管しているデータが差し押さえの対象となった場合、長期間にわたってデータへのアクセスができなくなる恐れがあります。
そのため、可能な限り日本国内のデータセンターを指定したほうが、運用上安全性は高いといえるでしょう。
なお、国内では震災をはじめとする自然災害リスクが高くなっているため、距離的に離れた複数のデータセンターで冗長化されているか確認しておくことも重要です。
可用性(A):SLA
SLA(Service Level Agreement)とは、クラウドサービス事業者と利用者の間で締結されるサービスの品質水準に関する合意事項です。
SLAの内容次第で、クラウドの障害発生時に会社として取るべき対応方針が変わってきます。
SLAに関しては、利用者側が全面的に容認せざるを得ない部分が大きいため、サービス停止などによるリスクをどこまで許容できるか、特に以下の項目はしっかりと確認しておきましょう。
・稼働率を何%以上保証するか?
・一定稼働率を下回った場合の保証制度(利用料金の減額・返金など)は設けられているか?
・メンテナンス等、計画停止のスケジュールは公開されているか?
(公開されている場合、何日前までに把握できるか?)
・バックアップの保存期間はどの程度か?
・障害発生時の初報は何分以内に通知されるか?
・障害発生時の復旧時間は何時間以内か?
・サービス要求への応答時間は何分以内か?
・作業ミスによる重大障害を年間何件以下とするか?
・日付や時間帯による利用時間の制限はできるか?(例:休日や深夜のアクセスは不可)
お電話・FAXでのお問い合わせはこちら
03-5828-7501
03-5830-2910
【受付時間】平日 9:00~18:00
フォームでのお問い合わせはこちら
この記事を書いた人
Y.M(マーケティング室)
2020年に株式会社コンピュータマネジメントに新卒入社。
CPサイトのリニューアルに携わりつつ、会社としては初のブログを創設した。
現在は「情シス支援」をテーマに、月3本ペースでブログ更新を継続中。