ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ビズサプリ 情報システムポータル
  3. 情シス事情を知る
  4. クラウドサービスを利用したいが、セキュリティが不安
ここから本文です。

特集 情シス事情を知る

クラウドサービスを利用したいが、セキュリティが不安
不安を一掃するセキュリティ対策(CASB)を解説

2018年5月

2010年代以降、日本企業でもクラウドサービス利用は急速に進んでいる。だが、クラウドサービス利用企業で情報漏えいが発生するなど、依然としてセキュリティに不安を感じている企業は多い。情報漏えいの種類としても、従業員が悪意なく情報漏えいしてしまう場合や、悪意のある従業員や退職者によって情報を盗まれてしまったり、第三者にハッキングされたりするなど、様々なケースがある。さらに、情報漏えい以外にも私的利用される問題もあり、企業単体でのセキュリティ対応はなかなか厳しいというのが実情だ。そうした状況下で、クラウドサービスのセキュリティに関する課題を解決する手段として注目され始めたのが「CASB」だ。

ますます進む企業のクラウドサービス利用

2010年以降、企業におけるクラウドサービスの利用が拡大している。その背景には、ビジネスの環境が絶え間なく変化しているだけでなく、スピードも加速しているという現状がある。その結果、顧客や市場の要求に迅速に応えなければならず、ビジネス基盤を支えるITも柔軟な対応が必要とされ、迅速性に優れるクラウド活用が進んでいるのだ。

それを裏付ける調査データもある。総務省による「平成28年通信利用動向調査報告書」によると、クラウドサービスを利用している企業の割合は、2012年の時点で28.2%に過ぎなかったのが、2016年には46.9%へと急増している。また、クラウドサービスの効果について「非常に効果があった」または「ある程度効果があった」と回答した企業の割合が85%を超えていることにも注目したい。さらに、クラウドサービスの利用と労働生産性を比べた調査では、クラウドサービスを利用している企業の方が、労働生産性が約3割高いという結果も出ている。

では、一体どういうクラウドサービスが使われているのか。全世界では数万種類のサービスが存在しており、例えば、メールやグループウェアはOffice 365、ファイル共有はDropbox、CRMはSalesforceなど、それぞれ違うクラウドサービスを活用している企業は多い。さらに、このようなクラウドサービスは、オフィス内に限らずインターネットに接続できる環境さえあれば場所を問われないため、在宅勤務など働き方改革を支える仕組みとしても利用は加速していくと考えられる。

クラウド利用にも不安がないわけでない

だが、クラウドサービスは企業にメリットが大きい一方で、デメリットがないというわけではない。次にクラウドサービスを活用する際の不安点を挙げていく。

まず、利用実態が把握できない点だ。クラウドサービスは気軽に使えるため、従業員が使用しているクラウドサービスを把握・コントロールできないということも起こり得る。企業が利用実態や制御ができないというのは非常にリスクが高く、問題が発生してしまうと企業全体の脅威になる可能性がある。

次に、重要情報への不正なアクセスだ。クラウド上でファイル管理しているケースでは、従業員の誤操作によって、社外秘のファイルを外部からでもアクセス可能な状態にしてしまう恐れがある。また、従業員のアカウント情報さえ持っていれば、悪意のある従業員や退職者によって情報を盗まれてしまう可能性もある。

さらに、従業員自体が気付かずにウイルスに感染したデバイスからアクセスし、感染したファイルを配置してしまい、ウイルス拡散させてしまう恐れもある。

また、クラウドサービスを提供する企業は次の様なインシデントを起こしている。

2011年、ファイル共有サービスを行う企業で、パスワードなしで全ユーザーにログインできる状態が4時間も続くデータ障害が発生した。2012年には、クラウドサービスプロバイダの企業が、契約している約5000社のデータをすべて消失させてしまう事故を起こした。2013年にも大手IT企業が提供している無償版のニュース投稿・共有サービスで、デフォルト設定が「一般公開」となっていることに気づかず情報漏えいを起こすという事件が起こった。

これらのようなインシデントへの懸念を払しょくするためにも、なし崩し的にクラウドサービスの利用に向かうのではなく、事前にセキュリティ面のリスクもしっかりと把握し、クラウドサービス内のデータは、自社でしっかり守っていくという認識が必要だといえる。

CASBの主要機能と運用形態とは

上記のようなリスクを持つクラウドサービスのセキュリティを一元的に制御し、安全な利用を実現する上で検討すべきなのが、CASB(Cloud Access Security Broker)による対策である。CASBは米ガートナーが提唱したコンセプトで、ユーザーとクラウドサービスの間にコントロールポイントを設定し、そこで一貫性のあるセキュリティポリシーを適用するという考え方だ。大きくは、(1)可視化(2)コンプライアンス(3)データセキュリティ(4)脅威防御の4つの機能がCASBの柱となる。

CASB導入だけでなく、自社のセキュリティ対策の見直しも図りたい

では、具体的にCASBの4つの機能はどういうものなのだろうか。以下に簡単に説明する。

  • (1)可視化
    クラウドサービスの利用状況と、そのクラウドサービスが安全かどうかを可視化できる機能。利用しているサービスの一覧、アクセスしているユーザー情報を表示されるだけでなく、それぞれのサービスの安全性を評価される。
  • (2)コンプライアンス
    企業が許可していないクラウドサービスをユーザー個人や特定部門が勝手に業務で利用する、いわゆる「シャドーIT(組織が許可していないクラウドサービス)」への対策である。(1)の可視化での評価を元に、公認外のクラウドサービスの利用を制限・制御することが可能だ。
  • (3)データセキュリティ
    アップロードされようとしているデータの中身をチェックし、その内容に応じて通信を中断したり、ファイルを暗号化したりできる。
  • (4)脅威防御
    怪しい動作やファイルを検出した場合、アカウントの乗っ取りや操作ミス、内部犯行、マルウェアかどうか判断し、警告・検知・防御を行う。

これらの対策により、クラウドサービスからの様々な情報漏えいリスク(外部からの攻撃、クラウドサービス自体の不正、マルウェア感染したデバイスからの漏えい、退職者による機密情報の不正入手)などを包括的に低減することができる。

もっとも、最適なCASBの活用は一朝一夕で実現するものではない。まずは自社としての情報セキュリティのポリシー見直しを図る。そして、クラウドサービス利用とセキュリティ管理・運用のあるべき姿を描き、現状分析とリスク評価に基づいたセキュリティ対策の実施計画を策定する。さらにその計画を確実に進めていくことで、はじめて安全なクラウドサービス利用とセキュリティ管理・運用を実現することができる。

もちろん、これらを実現するための情報セキュリティ関連の人材教育は必要だ。その上で、クラウドサービス利用におけるリスク管理という組織的な観点と、効果的にCASBを活用する技術的な観点の両方を考慮したロードマップによる、全社的な組織横断の取り組みが求められる。

ページ共通メニューここまで。

ページの先頭へ戻る