こんにちは。クラウドエース編集部です。

クラウド サービスの導入を踏みとどまる 1 つの要因として「安全性の不安」が挙げられます。具体的に、どのような安全性に気を配る必要があるのでしょうか。本記事では、具体的な危険と、セキュリティ面でチェックすべき項目について詳しく解説します。

クラウドを利用する時は安全性の確保が不可欠

クラウド サービスを利用する上では、セキュリティ対策に気を配り、安全性を確保することが不可欠です。

クラウドは、社内のサーバーではなく外部サーバーにデータを保存し、インターネットを介してアクセスする仕組みのため、第三者からの攻撃に対する対策を十分に行う必要があります。

また業務上、多くのユーザーがアクセスし、同じデータを共有することになるため、権限のない不正なユーザーにアクセスされる可能性や、誤操作によるデータ消失などのリスクにも備えることが必要です。

クラウドを利用する時に注意したいポイント


クラウド サービスを導入するにあたり、安全性を確保するにはどのようなポイントに配慮すべきなのでしょうか。主な 3 つのポイントを解説します。

不正アクセスによるデータ流出

まず挙げられるのは、権限のないユーザーが「不正アクセス」をするリスクです。

不正なユーザーにアクセスされることは、保存したデータの流出や、個人情報の不正使用などにつながるおそれがあります。

ログインできるユーザーの管理を徹底し、強力なパスワードを設定するなどの対策が必要です。チームや役職ごとにアクセスできるデータの範囲を変え、パスワードが流出しないように管理ルールを徹底するなど、社内の管理体制も求められます。

誤操作などによるデータ消失

ユーザーが誤ってデータを消してしまったり、破損させてしまったりなどのヒューマン エラーにも注意する必要があります。

クラウド サービスではデータの共有がしやすいため、1 つのデータに複数のユーザーがアクセスし、共同編集をすることがあります。

データにアクセスするメンバーの中には、操作に不慣れな新人スタッフや、契約して間もない業務委託先の担当者が含まれていることもあるでしょう。そのようなユーザーが操作を誤って、重要なデータを消してしまったり、設定を変えてしまったりなどのリスクに対しても、十分に対策しておく必要があります。

クラウド上に保存されたデータは通常、自社のPCなどの端末上には保存されません。誤操作でデータが消えてしまっても復元できるようにバックアップを取っておくことが重要です。多くのクラウド サービスでは、データをすぐに復元できる仕組みが用意されています。

第三者からの攻撃

クラウド サービスは「DDoS」(ディードス)や「ブルート フォース アタック」など第三者からの攻撃を受けやすいことにも注意すべきです。

DDoS とは、対象のネットワークや Web システムに大量のアクセスを行うことで高い負荷を与え、利用できない状態にするサイバー攻撃の一種です。DDoS の被害に合うと、データ自体は無事でもシステムがダウンして、一時的に利用できなくなる可能性があります。

ブルート フォース アタックとは、「総当たり攻撃」とも呼ばれ、パスワードや ID を解読するために、予想される文字列を 1 文字ずつ変更しながら「総当たり」で入力し、ログインを試みる攻撃です。ログインされてしまうと、サーバー内に入り込まれ、データの破壊や持ち出しが可能になってしまいます。

システムが常にインターネットと接続することになるクラウド サービスでは、このようなサイバー攻撃に対する十分な対策が必要です。

クラウドを導入する時は安全性評価が大切


クラウド サービスの導入前に、安全性について十分に評価・確認をすることが重要です。どのように安全性を評価すれば良いのか、国の取り組みと ISO 規格について解説します。

政府機関も安全性評価制度を運用している

政府機関も、行政サービスや業務効率化のためにクラウドの導入を進めていますが、その際にセキュリティ面を重視し、「安全性評価制度」を設けて対応しています。クラウド サービスを導入する前に、そのセキュリティ面の確認を十分に行うための流れや基準を明確化した制度です。

クラウド サービスの提供会社では、複数の異なるタイプのサービスを提供していることが多く、サービスごとにセキュリティ機能が異なる場合があるため、会社単位ではなく「サービス単位」で評価して導入するなど、事前のチェック体制が細かく規定されています。

安全性評価制度の概要は、インターネット上で公開されているので、クラウド サービスを導入する上での参考にできるでしょう。

クラウドサービスの安全性評価に関する検討について
https://www.kantei.go.jp/jp/singi/it2/senmon_bunka/dejigaba/dai8/siryou4.pdf

安全性評価の基準「ISO27017」にも注目しよう

国の「安全性評価制度」では、評価の基準として国際規格の「ISO 27017」を参考にしています。

「ISO 27017」とは、クラウド サービスのリスク対策に関する規格で、サービスの提供会社だけでなく、クラウドを利用する側も対象です。

クラウド サービスの導入時には「ISO 27017」の認証を受けた提供会社を選ぶことはもちろん、自社としても国際規格に基づいた対策を実施して認証を受けることで、安全性を強化できます。

クラウドの安全性を確保するには適切な対策が必要


クラウド サービスは、セキュリティ面の安全性を確保した上で利用することが必要です。具体的にどのような対策が必要なのかを解説します。

ID・パスワードなどの認証情報を適切に管理する

クラウド サービスにログインするための「ID・パスワード」を盗まれないように適切に管理することが重要です。社内で ID・パスワードの管理を徹底し、社外に漏れたり、不正なユーザーに渡ったりしないようにする必要があります。

チームや担当者ごとにアクセスできるデータの範囲を変えることも有効です。信用度の低い外部ユーザーや新人スタッフなどが重要なデータにアクセスしないように設定することで、誤操作の防止や機密情報の保護につながります。

多要素認証(MFA)を設定し、パスワードだけでなくセキュリティ キーなど複数の認証方法を利用することも効果的な方法です。

バックアップを取る

クラウド上に保存したデータが消えたり破損したりなどの場合に備えて、バックアップを取っておくことも必要です。バックアップを設定することで、誤操作でデータが消えたり、データの内容を不正に変更されたりしても、すぐに復元することが可能になります。

多くのクラウド サービスに、データのバックアップ機能が付属していますが、重要なデータについては社内のサーバーにも自動保存する仕組みを作るなど、二重のバックアップを設定することも大切です。

外部からの攻撃に対する対策を施す

サイバー攻撃への防御体制を作ることは、クラウド サービスに必須の安全対策です。

多くのクラウド サービスでは WAF(ワフ)と呼ばれる防御システムを導入しています。WAF とは「Web Application Firewall」の略で、DDoS やブルート フォース アタックだけでなく、多様なサイバー攻撃からクラウド システムを守るソフトウェアです。

クラウド サービスを選ぶ際は、多岐にわたるサイバー攻撃に対抗できるような防御システムを採用しているかどうかを確認しましょう。

セキュリティが万全なクラウドサービスを利用する

クラウド サービスの安全対策を比較・検討して、セキュリティが万全なサービスを利用することが大切です。

前述の 3 つの安全対策について、利用者側が注意することも重要ですが、多くの部分はクラウド サービスの提供元に依存しています。提供元が、セキュリティ対策に必要な機能を用意していない場合、利用者としてセキュリティ強化のカスタマイズをすることは難しいでしょう。

万全なセキュリティ対策を用意したクラウド サービスを選ぶことで、多くの部分を提供会社に任せても、高い安全性を確保できます。

安全性が高いクラウドサービスをお探しならGoogle Cloudを検討しよう

安全性でクラウド サービスを選ぶなら Google Cloud を検討してみてください。

Google Cloud は、前述の「ISO 27017」をはじめ、セキュリティに関する数多くの国際規格に準拠していることが、第三者機関によって認証されています。

Google Cloud では、以下のシステムによって、安全性を強化することが可能です。

  • Cloud Armor
  • reCAPTCHA Enterprise
  • Apigee™

「Cloud Armor」は、DDoS をはじめとする、多様なサイバー攻撃からアプリケーションや Web サイトを保護するシステムです。

「reCAPTCHA Enterprise」は、Webサイトから情報を盗むスクレイピングや認証情報の読み取りなどから、Web サイトを保護してくれます。

「Apigee」は、API を管理してセキュリティを強化するシステムです。

以上のように豊富な機能によって高いセキュリティを実現している Google Cloud を、候補の 1 つに加えてみてください。

Google Cloudの導入に関する相談はクラウドエースへ


Google Cloud を適切に導入して運用するには、高度な専門知識が求められます。Google のプレミア パートナーであるクラウドエースなら、専門スタッフによる充実したサポートによって、初心者でも適切に導入できるようお手伝いすることが可能です。クラウドエースの特徴について、4 つのポイントを紹介します。

窓口1つ!トータルサポートで手間要らず

クラウドエースでは、Google Cloud の導入から運用までのトータルサポートを提供しています。

クラウド導入にあたって分からないことや、運用中に発生した疑問や問題などに、的確に回答・アドバイスをするサポート サービスです。お客様の要望や、実現したいシステム要件などをヒアリングし、Google Cloud の豊富なサービスの中から適切なものをご提案します。

初期費用や月額料金は無料からでも利用できるので、無料のカスタマー サービスのような感覚でご利用可能です。

1,000社以上に選ばれる実績で安心

クラウドエースは豊富な企業様のクラウド導入をサポートしてきました。株式会社セブン-イレブン・ジャパン様や、日本テレビ放送網株式会社様など、1,000 社以上に選ばれる実績を誇ります。

株式会社ドワンゴ様には、認定トレーニング メニューの 1 つである「データ エンジニアリング トラック」によって、専門的な知識とノウハウを提供しました。

クラウドエースは、多くの企業様のクラウド導入やエンジニアの教育をお手伝いしてきたノウハウによって、質の高いサポートを実現します。

Google Cloudユーザー向けサイバーリスク保険が無料

クラウドエースを通して Google Cloud を導入した場合、サイバーリスク保険が無料で付帯されます。これは、Google Cloud に万が一障害が発生した場合に、エンドユーザー様への損害賠償金やデータ復旧、原因調査などにかかる費用を補償する損害保険です。

セキュリティ事業者や弁護士事務所などの専門事業者を紹介するサービスも付帯します。

クラウドエースならGoogle Cloud使用料が3%OFF

クラウドエースを通して Google Cloud を導入した場合、3%OFF のディスカウント価格でご利用いただけるので、直接契約した場合と比べてコストを抑えることが可能です。

無料の「BRONZE サポートプラン」は、最低限のサポート サービスと、前述のサイバーリスク保険、円建てでの支払い代行サービスが付帯しています。

Google Cloud の導入・運用コストを抑えるためにも、ご利用を検討してみてください。

安全性重視のクラウドシステム構築は信頼できるパートナーに依頼しよう

Google Cloud は高い安全性を確保しながら利用できるクラウド サービスです。とはいえ利用する側も注意して運用しなければ、その機能と安全性を十分に発揮することはできません。

クラウドエースは Google Cloud 導入のパートナーとして、安全性を確保しながら導入するためのお手伝いをいたします。クラウド サービスの安全性を重視するなら、クラウドエースにご相談ください。

※ Google Cloud、および、Apigee は Google LLC の商標です。

合わせて読みたい