5分でわかる
セキュリティコラム
Microsoft 365などクラウドサービス利用時の
セキュリティ対策
Microsoft 365(旧Office 365)などクラウドを利用したサービスやシステム、ソフトウェアの利用が非常に身近になってきています。クラウドサービス導入による利点は大きく、注目している方は多いでしょう。しかしながら、やはり気になるのはセキュリティに関することではないでしょうか。
クラウドサービス提供側によって、ある程度のセキュリティ強度は担保されているとしても、利用側としては、できる限り強固なセキュリティ体制で万全に備えたいはず。安全に利用するにはどうしたらよいのか、クラウドサービスの利用に関するセキュリティ対策を考えていきましょう。
国内におけるクラウドサービス利用状況
そもそも実業務において、クラウドサービスはどれくらい利用されているのでしょうか。本章では、総務省が発表している「通信利用動向調査」から読み取っていきます。 企業全体、および一部の事業所または部門でクラウドサービスを利用していると回答した企業の割合は、2016年の約47%から10%上昇して2017年は約57%まで増加しており、業務における利用が増えていることがわかります。なお、クラウドサービスの利用目的としてはファイル保管・データ共有や、サーバー利用、電子メールがそれぞれ複数回答の形式で50%前後となっています。
また、クラウドサービスの効果として、「非常に効果があった」「ある程度効果があった」と回答した企業は全体の8割を超え、クラウドサービス利用の効果を実感としてポジティブに捉えている企業が多く見られるようです。 クラウドサービスの利用理由としては、「資産、保守体制を社内に持つ必要がないから」「災害時のバックアップとして利用できるから」「サービスの信頼性が高いから」などの内容が挙げられています。
逆にクラウドサービスを利用しない理由としては「必要がないから」が最も多く、次いで「情報漏洩などセキュリティに不安がある」が挙げられています。2016年の回答と比較すると、2017年では「必要がないから」という回答は減少していますが、「情報漏洩などセキュリティに不安がある」という回答は増えています。クラウドサービスを利用しない理由として、必要性は感じているものの、セキュリティに不安があるということが考えられるかもしれません。前述したクラウドサービスを利用する理由と利用しない理由で、どちらも上位にセキュリティが挙げられている点に注目すべきでしょう。遂行している業務においてどの程度のセキュリティレベルを求めるのかによって、クラウドサービスの利用は意見や判断が分かれてくる可能性はありますが、いずれにしろセキュリティ対策への関心が高いことがうかがえます。
この記事に関連するおすすめの製品
次世代CASB Forcepoint ONE(旧名称:Bitglass)
資料ダウンロード
ダウンロードクラウド セキュリティ ガイドライン
前章でクラウドサービスを利用しない理由として挙げられている「情報漏洩などセキュリティに不安がある」という状況に対して、クラウドサービス提供側がセキュリティの強化に取り組むだけでなく、セキュリティ対策を評価する認証制度の整備が進んでいます。認証制度として、クラウドサービスに関する情報セキュリティ管理策のガイドライン「ISO/IEC 27017」という国際規格があります。この規格は国際標準化機構(ISO)と国際電気標準会議(IEC)が定める、情報セキュリティに関する国際規格であるISO/IEC 27000 シリーズのひとつです。この規格はクラウドサービスの提供側(プロバイダー)、利用側のいずれか、もしくは両方対象となります。「ISO/IEC 27017」にしたがって対策することによる利点は以下が挙げられます。
- 安全性の担保
「ISO/IEC 27017」に準拠した、適切なクラウドサービスの情報セキュリティマネジメント構築を行うことで、安全性の担保が可能となる - 信頼性の向上
クラウドサービス提供側は利用側に対してクラウドサービス固有のセキュリティ対策に取り組んでいることの証明、クラウドサービス利用側もサービス利用時に同様に取り組んでいることの証明となる - 他社との差別化
まだ規格が運用されてからあまり時間が経っておらず、競合他社とのセキュリティにおける明確な差別化のポイントとなる
クラウドサービス利用時に必要なセキュリティ対策
それではクラウドサービス利用時に必要なセキュリティ対策を考えていきましょう。まずはクラウドサービス利用時の認証強化について。大きなポイントとして挙げられるのは、アカウント管理です。クラウドサービス利用の利点は、どこからでも誰でもどの端末でも利用できることですが、一方で課題として、第三者がID・パスワードを入手できてしまうと、クラウドサービスを不正利用される可能性があります。こうしたセキュリティにおける対策として、クラウドサービスと連携して認証強化ができる製品があります。ID・パスワードによる認証だけでなく、ワンタイムパスワードや生体認証、乱数表などと組み合わせることで、より確実な認証が可能です。
また、企業が許可した端末のみがクラウドサービスにログインできるようにしたり、個人アカウントのログインをブロックするなど、未許可の私用端末や業務外の利用を制御する製品も増えていますので、積極的に利用すべきでしょう。
クラウドサービス利用時のセキュリティリスクを管理するソリューションの一例として、「CASB」(キャスビー:Cloud Access Security Broker)があります。これは企業向けのソリューションとして、従業員のクラウドサービス利用をコントロールすることを目的としたものです。このソリューションはクラウドサービスとユーザーとの間に置かれ、企業のセキュリティポリシーの徹底と利用監視を行う概念で「可視化」「コンプライアンス」「データセキュリティ」「脅威防御」の4つを柱とし、「暗号化」「アクセス制御」「不正の検知」「ログ収集と解析」といった機能が実装されているのが特長です。
クラウドサービスの利便性を生かし、テレワークなど社外での業務でもクラウドサービスを利用するなど、活用の場も拡がっています。これにより、従業員による利用実態とセキュリティリスク把握の重要性が高まっています。CASBはこうしたリスクを可視化し、クラウドサービス利用を一元管理することが可能です。情報漏洩や暗号化に関する従来の技術を組み合わせることでクラウドサービスの安全な利用を促進し、今の時代に合わせたビジネスを手助けしてくれます。
まとめ
クラウドサービス利用時のセキュリティについてご説明してきました。総務省の統計から、利用企業が年々増えている反面、クラウドサービスのセキュリティに不安を感じている企業もあります。ただし、利用企業からは、利用メリットや効果を実感している様子が見て取れ、今後も増加していくことが予想できるのではないでしょうか。
企業の目的に適したサービスを利用することで得られるコスト低減や効率的なビジネスとコミュニケーションの促進といった利点は大きな魅力と言えます。その恩恵を受けるためにも、クラウドサービスに特化したセキュリティ対策の利用は大きな効果を発揮してくれるはずです。このようなIT技術を上手く取り入れ、企業のさらなる成長につなげていきましょう。
この記事に関連するおすすめ製品
次世代CASB Forcepoint ONE(旧名称:Bitglass)
サンクションIT・シャドーITの可視化やクラウドサービス利用状況の把握、リアルタイムでの制御を実現
おすすめコラム
CASBの導入メリットは?働き方改革で推進すべきセキュリティ対策