クラウドサービス利用時に知っておきたいセキュリティ知識

クラウドサービスとは、インターネットを介してソフトウェアやハードウェア、プラットフォーム等を利用するシステムを指す。2014年2月にはクラウドやセキュリティをメインとした大型イベントが開催され、各セミナーにて導入・成功事例や最先端の技術等の解説が行われるなど、ますます注目を集めている。

クラウドサービスにはコストの削減や効率化をサポートするメリットもある一方、不正アクセス等のリスクも存在する。今回は、リスクの防御と安全な利用のために必要な知識を見ていこう。

 

1. 利用範囲を明確にする

 

まずは、この3点を明確にしよう。

• 扱う情報の種類や業務内容
• 運用や管理の実行の仕方
• 決めた内容と利用したいクラウドサービスのコストは合致しているか

これらについて確認や取り決めを行うことで、ブレのないセキュリティが可能になる。

 

 

2. 事前準備を行う

 

続いて、決定しておくのは以下の4点。

• クラウドサービスの特性を把握した人物の担当者
• 提供するサービスで扱う個人情報のレベル
• ログインや稼働に使うパスワードは簡単に解析できないものを定めたか、また、パスワードを社内でどのように管理するか
• 万が一に備えた、重要なデータのバックアップ体制

特性を理解した人物を担当者に据えることは必須だろう。稼働や開発のみならず、確実な運用が実行できる。また、パスワードの管理や決定が重大事項であることは言うまでもないだろう。

 

 

3. 利用したいサービスの詳細を確認

 

次に、サービス詳細について確認を行う。

• 提供事業者の情報は信頼できるか
• 障害の発生率、回復までに要した時間、稼働率
• セキュリティ対策の内容
• 不明な点を質問できるヘルプ・サポートデスクの有無と対応時間等
• 利用をとりやめた際のデータの取り扱い

利用するサービスの安全確保が不十分だと、リスクが高まる恐れがある。困った時、問題が発生した時のために安心できるサービスを選ぶと良い。

 

 

4. サービスに備わるセキュリティ対策を確認

 

サービスが提供するセキュリティ対策に下記が含まれるかを確認しよう。

• 修正パッチ・アップデートのリリース等、システムへの対策
• データの暗号化及びバックアップの有無等、データへの対策
• スパイウェアや不正アクセスの検知や監視等、ネットワークへの対策
• 冷却や電源、入退室管理等、データセンターへの対策
• 特権IDの管理や作業時のフロー等、データ運用の対策

サービスに施された対策が多いほど、セキュリティは強固になり、安全な利用に繋がる。各面からチェックし、より安全度の高いサービスを利用すると良い。

 

5. パスワードリセット要求

 

安全な利用のために「担当者のみアクセス可」にすることはもちろんだが、最も重要なのは「パスワード」。特にサービス利用時の「リセット要求」について、下記の3点を注視したい。

• 担当者をどの範囲の者に定めるか
• 担当者の本人確認をどう行うか
• 担当者のみが要求可能か

なりすましや不正アクセスを防ぐためにも、これらに対して確実な対策が実行されているかが重要になる。

 

まとめ

「サービス内で扱う内容の決定」「パスワード設定や担当者の決定」「利用したいサービス詳細をチェック」「サービスに施されたセキュリティ対策の確認」「リセット要求の詳細確認」となる。

いずれも、簡単に出来る操作でありながら見落とす可能性の高い項目だ。1つ1つのフローを丁寧に行うことで、クラウドサービス利用時のセキュリティが万全になるだろう。

 

 

参考：

Cloud Days
http://expo.nikkeibp.co.jp/cloud/2014spring/seminar/

クラウドサービス安全利用のすすめ（IPA独立行政法人情報処理推進機構セキュリティセンター）
http://www.ipa.go.jp/files/000011594.pdf

染谷征良：クラウド導入の懸念事項「セキュリティ」の問題はどこ？
http://ascii.jp/elem/000/000/572/572497/index-2.html