なぜクラウドにセキュリティが求められるのか?|Gluegent Gate

なぜクラウドにセキュリティが求められるのか? 具体的なリスクと効果的な対策


クラウドサービスの利用効果

クラウドサービスとは、従来自分のパソコンに導入して利用していたソフトウェアやデータなどをインターネット経由で必要に応じて利用できるサービスのことです。G Suite (旧Google Apps for Work)やOffice 365はその代表格。インターネットに接続できる環境さえあれば、いつでもどこでもアクセスできる柔軟性が大きな魅力です。自社でシステム構築やデータ管理を行うのに比べて低コストで導入できること、常に最新のソフトウェアを利用できることなど多くのメリットがあります。

総務省「平成26年通信利用動向調査」によれば、クラウドサービスの導入による何らかの効果が「非常にあった」と回答した企業は29.3%、「ある程度あった」が53.4%で、合計82.7%と高い割合です(右図)。

このような導入効果の高さや、場所にとらわれないワークスタイルに適していることから、近年ではクラウドサービスを積極的に採用する企業が増えています。2014年末時点でクラウドサービスを利用していると回答した企業は38.7%で、前年より5.6%も上昇しています。

一方でセキュリティへの漠然とした不安から導入を踏みとどまっている企業があるのも事実です。いつでもどこでもアクセスできる便利さはそのままセキュリティの心配に置き換わります。同調査によれば、クラウドサービスを利用しておらず利用予定もない企業のうち、その理由に「セキュリティに不安がある」を挙げたのは34.5%です。前年より2.9%減っているものの、「必要がない」の44.7%に続き第2位となっています。

Google AppsやOffice365などのクラウドサービスは、その導入によって様々な効果が期待できます。セキュリティが心配だからとやみくもに避けるのではなく、リスクを正しく知り、しっかりと対策をしたうえで利用することが賢明です。ここではクラウドサービスの利用時に考えられるセキュリティのリスクを具体化し、それぞれにどのような対策が有効か考えていきます。

1. クラウドセキュリティ3つのリスク

Google AppsやOffice365といったクラウドサービスを利用する際に、リスクとして必ず押さえておきたいポイントは以下の3点です。

◆ リスク その1 パスワード攻撃による不正アクセス

クラウドサービスを利用する際には、Google AppsでもOffice365でも、IDとパスワードでログインする必要があります。万が一ログインIDとパスワードがセットで漏えいすると、悪意ある第三者にログインされる危険があります。不正なログインは機密漏えいやデータ破壊などの大きな損害にも繋がります。

公に知られているメールアドレスをそのままシステムのログインIDとして利用している場合も、パスワードが見破られたら不正侵入を許してしまうため高リスクです。パスワードを割り出す手法として、パスワードに使われやすい単語を片端から試していく「辞書攻撃」や、別のサービスから漏えいしたアカウント情報でログインを試みる「パスワードリスト攻撃」などがよく知られています。類推されやすい単純なパスワードや、同じパスワードの使いまわしは非常に危険です。

防御策として、IDとパスワードだけに頼らず、複数の認証方法を組み合わせることが効果的です。従来のシステムではIPアドレス認証との併用が一般的でした。これは社内ネットワークを経由している場合のみ接続可能にする制御方式です。しかし、どこからでも利用できるクラウドサービスの強みを活かすためには、社外からもアクセスできなくてはいけません。そこで、クラウドセキュリティではアプリケーション認証やクライアント証明書認証などの端末認証が重要になります。端末認証とは認められたクライアントデバイスからのアクセスのみ許可する制御方式で、各種モバイル機器に適用できます。また、ログインの度に一回限り有効なパスワードを発行するワンタイムパスワードなども有用です。これらをID・パスワードと組み合わせて用いることによって、クラウドサービスのセキュリティが確実に担保できるのです。

◆ リスク その2 退職者アカウントの削除漏れによる情報流出

クラウドサービスを利用している場合、退職者のアカウントは確実に停止する必要があります。もし削除漏れがあると、退職後もGoogle AppsやOffice365にアクセスできてしまい、セキュリティ上のリスクになります。経済産業省の調査では、営業秘密の漏えいを経験した企業では「中途退職者(正規社員)による流出」が最も多く50.3%となっています(平成25年3月「人材を通じた技術流出に関する調査研究報告書」による)。この中にクラウドサービスによる流出がどれくらい含まれているかはわかりませんが、退職者に注意を払うべきなのは確かです。

Google AppsやOffice365のアカウントを手作業でメンテナンスしていると、間違いや漏れが起こりがちです。うっかりアカウントの削除を忘れると大きなトラブルに発展しかねません。対策として、社内のActive DirectoryやLDAPと、各種クラウドサービスのアカウントを自動連携し、一元管理できるようにすることが有効です。アカウントの追加・変更・削除を自動的に反映できるので、様々なサービスで逐一メンテナンスする手間が省けます。組織変更、入社、異動、退職が多い時期でも、修正漏れを未然に防止できます。

◆ リスク その3 【2段階認証】で業務効率低下

Google AppsやOffice 365などクラウドサービス側でも2段階認証などのセキュリティ強化策を提供しています。2段階認証とは従来のID・パスワードに加えて、携帯電話のSMSやメールにその都度送られる「認証コード」を入力するものです。対策としては有効ですが、ログインするたびに行うのは煩わしく感じる人も多いでしょう。また、各々のサービスが独自に提供している仕組みなので、複数のクラウドサービスを利用していると手間が増えて大変です。システムにログインするためだけに何度も認証コードを入力するのはユーザーの負担になります。業務の効率も低下してしまいます。

その打開策は、シングルサインオンに対応したセキュリティ対策ツールの導入です。一度ログイン認証を行うだけで複数のサービスにアクセスできるようになります。パスワードや認証コードを何回も入力する必要がなく、スムーズに業務に取り掛かれます。システムの使いやすさを向上させながらセキュリティ対策ができるので、セキュリティと利便性のどちらも大切にしたいと考える企業には特におすすめです。

2. クラウドサービスに最適なセキュリティ対策ツールとは?

Google Apps、Office 365といったクラウドサービスのセキュリティ強化に最も適しているのは、Gluegent GateのようなIDの統合管理やシングルサインオンに対応したセキュリティ対策ツールです。そのメリットは大きくわけて3つあります。

メリット

コスト削減やワークスタイル変革など、様々な効果が期待できるクラウドサービスを導入する企業は、今後ますます増えていくでしょう。インターネット経由でいつでもどこでもアクセスできるのが大きなメリットですが、不正アクセスを防ぐための強固なセキュリティ対策も求められます。

セキュリティ対策のポイントは「多要素認証を取り入れること」「アカウントを確実にメンテナンスすること」「安全性向上のために利便性を犠牲にしないこと」です。

Gluegent GateのようなIDの統合管理に対応したセキュリティ対策ツールを導入すれば、クラウドサービスの安全性が確保できるだけでなく、IDの一元管理、シングルサインオンなども実現することができます。このように複数のメリットがあるセキュリティ対策ツールを利用して、クラウドのセキュリティとユーザーの利便性を同時に強化しましょう。