2021.08.25 (Wed)
ファイルサーバー・クラウドストレージのビジネス活用(第6回)
クラウドストレージのセキュリティは安全? リスクと3つの対策を紹介
近年、個人だけでなく法人でもクラウドストレージを利用してファイル共有を行う企業が増えています。従来の自社でファイルサーバーを構築して運用する方法から、テレワークに相性の良いクラウドストレージを利用する方法に移行したい企業も多いのではないでしょうか。今回の記事では、インターネット上に自社の情報をアップロードすることにどのようなセキュリティリスクがあるのかと、その対策を紹介していきます。
◆目次
そもそもクラウドストレージとは?
クラウドストレージのセキュリティリスク
クラウドストレージ利用時のセキュリティ対策
まとめ
そもそもクラウドストレージとは?
クラウドストレージとは、オンラインストレージとも呼ばれるインターネット上のスペースにファイルをアップロードして保存する方法です。Googleドライブ、iCloud、Dropboxなどが代表的なサービスです。家族写真をGoogleフォトにアップロードするような個人での利用だけでなく、自社で構築したオンプレミスのファイルサーバーからクラウドストレージに移行する企業も増えてきており、そもそもファイル共有を最初からクラウド上で行う事例が増えています。
クラウドストレージは自社でサーバーなどを構築・運用する必要がないため導入のコストが低いことや、基本的にはIDとパスワードがあればいつでもどこでもアクセスでき、アクセス権限をユーザーごとに簡単に管理できることなどがメリットです。テレワークでも活用できる利便性がある一方、セキュリティ面では自社サーバーに比べて安全なのか、という懸念もあります。
クラウドストレージとは? 企業が知っておきたい基本をわかりやすく解説
クラウドストレージのセキュリティリスク
クラウドストレージは社外のネットワークを通じてアクセスして利用するため、社内LAN限定でのアクセスに比べるとセキュリティリスクが高まります。
サーバーダウンのリスク
利用しているサービスのサーバーがダウンした場合や、提供会社のデータセンターに不具合があった際、クラウドストレージは一時的に利用できなくなります。サーバーが復旧できない場合はデータの消失の可能性もあるため、導入時にはサーバー側の冗長性やバックアップ体制の安全性のチェックをする必要があります。
サイバー攻撃のリスク
クラウドストレージには利用している会社のデータが大量にあるため、機密データを狙ったサイバー攻撃や不正アクセスの標的になる可能性があります。サービス提供側のシステムの安全性が高いものか、重大な脆弱性はないか導入時に確認が必要です。
アカウントの不正利用
クラウドストレージのサービス提供側だけでなく、従業員などの利用側からのセキュリティリスクもあります。従業員のデバイスがウイルスやマルウェアに感染する可能性や、自分のデバイスは安全でもアカウント情報が流出して不正利用されることもあります。
Googleアカウントなどで自分が所持していないデバイスからのアクセス警告メールなどが来ることがありますが、そのような形で第三者による不正アクセスや、そこからのクラウドストレージの情報漏えいにつながる可能性もあります。
操作・設定などの人為的ミス
クラウドストレージを利用している側の管理者やユーザーの操作ミスによる情報流出のリスクもあります。クラウドストレージは年々利便性があがっており、簡単な操作で共有設定のリンクを発行できます。
その一方で、共有設定の操作ミスや確認不十分で不特定多数がファイルにアクセスできる状態になっていたり、共有リンクのURLの誤送信などのリスクもあったりします。人為的ミスにはくれぐれも注意しましょう。
従業員によるシャドーIT
従業員がクラウドストレージなどを会社から許可なく個人的に契約し、あるいは私物端末で利用することなどを「シャドーIT」と呼びます。悪意を持って意図的に行っていなくても、場合によっては個人が法的責任を問われる可能性もあります。機密情報を外部に持ち出すことができる状況のため、セキュリティリテラシーの向上やルールの浸透が必要です。
クラウドストレージ利用時の3つのセキュリティ対策
クラウドストレージを導入する際に、押さえておくべき3つの対策をご紹介します。
外部攻撃への対策
不正アクセスやマルウェア(ウイルス)感染などの外部攻撃に対するセキュリティ対策や、クラウド上のデータの破損や流出への対策を紹介します。
ファイルのアクセス範囲の制限
ファイル共有時のアクセス範囲を適切に定める必要があります。クラウドストレージは一番簡単な方法だと、URLを知っていれば誰でもアクセスできるため、フォルダやファイルの共有先や有効期限の設定を忘れずに行いましょう。気軽に共有できるだけに、社内・部署内でのセキュリティリテラシー向上の取り組みも必要です。
パスワード設定
アクセス範囲の制限同様、パスワードの設定も忘れずに行いましょう。パスワードも簡単に設定できるものではなく、推奨される桁数や大文字・小文字を組み合わせ、英数字を含めるなどの対策が有効です。それらの要件を満たさないとアカウントが発行できないなど、サービス側でパスワードポリシーが設定できる場合は活用しましょう。
ファイルの暗号化と暗号化通信
クラウドストレージでは、ファイルの転送や保存時に暗号化されますが、よりセキュリティレベルをあげるにはファイル自体を暗号化してストレージに保存することが有効です。
ファイルの暗号化だけでなく、ネットワークもSSL化した暗号化通信が必要です。
通信回線の制限
カフェやコワーキングスペースなどのオフィス以外の通信環境を利用する場合、セキュリティレベルが低い可能性もあるため、安全を考慮してできるだけ利用を避けましょう。
VPNを利用した自宅からの接続や、会社支給のポケットWi-Fi・テザリング用のスマートフォンなど、安全が確保された通信回線を利用することが望ましいです。指定した回線やIPアドレスでのみアクセスできるように制限をかけるのも有効です。
共有デバイスの利用に注意
インターネットカフェのパソコンや、知り合いのパソコンなどからクラウドストレージへのアクセスを行うのも基本的に避けるべきです。やむを得ず利用する場合は、閲覧履歴・キャッシュの削除や、アカウント情報をブラウザに保存しない、クラウドストレージからダウンロードして利用したファイルはパソコン内から削除するなどを徹底しましょう
ウイルス対策ができるソフトウェアの導入
ファイヤーウォールの導入や、不正侵入を検知できるウイルス対策ソフトなどの導入も行いましょう。外部からの不正アクセスを防ぐだけでなく、仮に侵入された場合にすぐに検知できるようにし、対処できる体制を作っておくことも重要です。
クラウドサービスのセキュリティ対策の把握
クラウドストレージを使用する場合、サービスによってセキュリティの機能や取り組み状況に違いがあります。外部攻撃からの対策はどのサービスを利用するかがポイントになるので、セキュリティ内容を事前に把握し検討してから導入しましょう。
チェックすべき項目の例は以下です。
・ファイルの転送・保存時の暗号化
・定期的なウイルスチェックの有無
・パスワード・権限の設定が柔軟か
・データセンターの環境や運用体制
・従業員のアカウントを一元管理できるか
ここまで説明してきた内容の中で、自社のセキュリティポリシーを満たせるサービスやプランは何か把握することが重要です。
内部不正への対策
従業員の意図的な情報取得・不正な情報流出や、意図しないポリシー違反への対策について紹介します。
複数の認証システムの利用
従業員のアカウントへの不正なアクセスを制限する認証方法の一例を紹介します。
・ID・パスワードによるアカウントでの認証
・デバイス単位での認証(会社から支給された端末や、特定の個人PCへの許可)
・2段階認証(ID・パスワードに加えた電話番号やセキュリティコードの入力)
・IPアドレス制限
・シングルサインオン※
※シングルサインオンとは:1つのID・パスワードでログインすれば他のサービスも利用可能になるシステム。利用するサービスの数が多く、設定するパスワードの数も多くなった結果、簡易的なパスワードになったり、パスワードの使いまわしなどによって、セキュリティが弱くなったりすることがある。シングルサインオンでは、1つの強固なパスワードだけで管理できる
アクセス・操作ログ管理
ファイルへのアクセスや操作をしたデバイス・場所・回線・アカウントのログを自動的に蓄積できる仕組みの導入も検討しましょう。従業員がシステムの設定上はアクセス可能でも、セキュリティポリシーとしては許可されていない方法でのアクセスや操作があった場合や、安全でないWebサイトを閲覧したなどのリスクの発見に役立ちます。
万一、不正があった場合の追跡や原因の追究もしやすくなります。
ダウンロード制限
クラウドストレージ上のファイルのダウンロードが過剰な回数である場合などは、従業員が業務以外の目的で保存している可能性があります。ファイルのダウンロード回数を必要最低限に設定したり、ファイルによって閲覧のみにするなど、みだりに保存できない設定にするのも有効です。
ファイルのアクセス範囲の制限
クラウドストレージの利用では必須となる設定です。標準的なセキュリティ対策ですが、アクセス範囲を狭めすぎると、より閲覧権限の強い人から共有してもらうなどの手間が発生して利便性が損なわれるため、アクセス範囲を広げてしまいがちです。
アクセス範囲を広げすぎてしまうと、会社の機密情報や業務マニュアルなどを個人パソコンに保存して外部に共有するリスクがあります。セキュリティポリシーを定めると同時に、適切に制限をかけるよう、リテラシー向上のための啓もう活動も行いましょう。
災害や人為的ミスによるデータ消失対策
クラウドストレージのデータセンター自体が災害等に遭いデータが消えることや、従業員の作業ミスで誤ってデータを消してしまうことなどへの対策を紹介します。
導入前のデータセンター情報の確認
クラウドストレージを提供している会社のデータセンターの情報をサービス導入前に把握しましょう。拠点は国内なのか海外なのか、災害が多発する地域ではないか、一つの拠点ではなく複数の拠点でバックアップ体制があるかといった情報はとくに重要です。
他には、過去にデータセンター自体に不正アクセスや情報流出があったか、また備えているセキュリティレベルはどのくらいかなどの情報も確認しましょう。利用サービスそのものにセキュリティリスクや情報消失のリスクがあった場合は、自社で対策を行っていても意味が薄れてしまいます。
バージョン管理ができるか
クラウドストレージに保存してあるファイルを誤って編集して上書き保存されている場合、更新履歴をたどってその前のバージョンに戻すことが可能な機能も重要です。人的ミスそのものを防ぐための研修などの取り組みも有効ですが、データが消えたり変更されたりしても元に戻せる機能があれば安心して業務ができます。
バージョン管理の機能もサービスによって違いがあります。ファイル単体だけでなくフォルダ単位での復元が可能であるか、利用している法人アカウント単位での復元が可能であるかなど、必要とされる場面を想定して利用サービスを選びましょう。
バックアップ体制
クラウドストレージのサービス側でデータのバックアップを取れるオプションサービスや機能があるかを確認しましょう。また、重要なデータはクラウドストレージだけでなく自のサーバーや保存用のHDDなどのローカル環境でのバックアップ体制も検討しましょう。個人で保存するのがセキュリティポリシーに反する場合は、従業員へのアクセス権限がほとんどない定期的な自動バックアップ用のサーバーやデバイスなどを用意するのも有効です。
まとめ
今回の記事では、クラウドストレージを利用する際のセキュリティリスクとその対策について、外部攻撃・内部不正・災害や人的ミスの3つの観点で紹介していきました。
クラウドストレージに利便性やメリットを感じていても、セキュリティリスクから導入に踏み切れない企業や情報システム担当の方は、クラウド導入の流れや重要ポイントを紹介したホワイトペーパーや、導入が簡単でセキュリティがしっかりしているNTT東日本が提供するコワークストレージの資料もありますのでぜひダウンロードしてみてください。
連載記事一覧
- 第1回 ファイルサーバーとは? 知っておきたいNASとの違いやメリットを紹介! 2021.08.25 (Wed)
- 第2回 ファイルサーバーの管理や運用ルールの決め方は? おすすめの手法を紹介 2021.08.25 (Wed)
- 第3回 ファイルサーバーをクラウドで利用する時のメリットや注意点を紹介 2021.08.25 (Wed)
- 第4回 クラウドストレージとは? 企業が知っておきたい基本をわかりやすく解説 2021.08.25 (Wed)
- 第5回 クラウドストレージを比較するときに知っておくべきポイントを徹底解説 2021.08.25 (Wed)
- 第6回 クラウドストレージのセキュリティは安全? リスクと3つの対策を紹介 2021.08.25 (Wed)
- 第7回 ファイルサーバーに突然アクセスできない! 考えられる原因と対処法を徹底解説 2021.10.04 (Mon)
- 第8回 ファイルサーバーのバックアップは必要? 災害やサイバー攻撃に備えよう 2021.10.04 (Mon)
