【まとめ】クラウドって安全？オンプレミスとクラウドのセキュリティの違いを解説

クラウドのセキュリティって心配？

昨今、デジタルトランスフォーメーション（DX）の推進やテレワークの普及により、クラウドの利用が拡大しています。オンプレミスと比較して、導入までのリードタイムの短さやコストの最適化、ハードウェアの更新サイクルからの解放など、クラウドにはさまざまなメリットがあります。しかし、自社で保有しているデータをクラウドベンダーに預けることに対して、セキュリティ面で不安を抱えている方もいらっしゃるのではないでしょうか。

総務省が公開している令和2年度の情報通信白書によると、クラウドを利用しない最大の理由として「情報漏えいなどセキュリティに不安がある」が31.8％という数値で1位にランクインしています(「必要がない」を除く)。この数値は年々少しづつ減少してきてはいるものの、依然として大きな数値であり、クラウドに対する漠然とした不安が根強く残っていることを表しています。

クラウドにおけるセキュリティの考え方とは

OECD（経済協力開発機構）の情報システムのセキュリティに関するガイドラインに「情報セキュリティの3要素」が定義されています。これは情報にアクセスできる者を制限する「機密性（Confidentiality）」、情報が改ざんや破壊されていない状態を保つ「完全性（Integrity）」、必要な時は常に情報にアクセスできる「可用性（Availability）」の3つでそれぞれの頭文字を取って、「CIA」と呼ぶこともあります。この3要素に沿ってセキュリティ対策を行うという点では、オンプレミスでもクラウドでも違いはありません。

オンプレミスとクラウドとの大きな違いは、「責任分界点」の存在です。クラウドでは、クラウドベンダーとユーザーがそれぞれの責任範囲において役割を分担し、作業を実施するという考え方（共同責任モデル）があります。セキュリティ対策もこの考え方の下で実施されるため、「クラウドベンダーがどのようなセキュリティ対策を実施しているか」と「ユーザーがクラウド上でどのようなセキュリティ対策を実施するか」の双方を考慮する必要があります。共同責任モデルの考え方に基づいて、クラウドベンダーとユーザーが管理する範囲を定めた境界を「責任分界点」と呼んでいます。

例えば、IaaSではクラウドベンダーが管理するのは、ハードウェアやネットワークを含むインフラ基盤です。そのため、ユーザーは仮想サーバーのOSより上の領域（OS、ミドルウェア、アプリケーション、データ）について、自身の責任でセキュリティ対策を行う必要があります。

クラウドベンダーでは、責任分界点に基づいてサービスの品質を明文化した「SLA（サービス品質保証）」を定めています。また、「SLO（サービスレベル目標）」を公開しているクラウドベンダーも存在します。SLAで保証されている累計障害時間や自動フェイルオーバー（HA）機能によるサーバー再起動の時間などが許容できるのであれば、インフラ基盤における対応は、クラウドベンダー任せで問題ありません。しかし、わずかな停止も許容しがたいエンタープライズの基幹システムや高い可用性が必要となるサービスなど、SLA以上の品質が要求される場合は、ユーザー側で別途、対策を実施する必要があります。

クラウドでセキュリティを向上させるためには

ここからは、クラウドでユーザー側がどのようにセキュリティ対策を実施するのかを解説します。よくある対策としては、物理基盤～データまでの各レイヤーに対して、単一障害点を無くすような構成を組んで可用性を向上させることや情報の改ざんや破壊を防ぐためにセキュリティ関連のソリューションを導入することなどが挙げられます。クラウドベンダーが提供する機能・サービスを利用して可用性を向上させる方法については、「【まとめ】オンプレミスからクラウドに移行すると「可用性」はどう変わる？」をご確認ください。また、ユーザー側でセキュリティ関連のソリューションを独自に導入するのは手間がかかるため、セキュリティ関連の機能を提供しているクラウドベンダーも多く存在します。

ちなみに、従来はサイバー攻撃からシステムや情報を守るためには、複数のセキュリティソリューションによって防御する「多層防御」という考え方が主流でした。しかし、現在ではクラウドサービスの普及やテレワークの推進によって、ITシステムが企業・組織内だけに閉じず、外出先や自宅にまで広がっています。こうしたネットワークの拡大によって、従来の境界型セキュリティでは、十分な防御が難しくなってきています。そこで「ゼロトラストネットワーク」のようにネットワーク内部への侵入を前提としたセキュリティの考え方が広まりつつあります。

セキュリティはクラウドベンダーの重要な選定ポイント

SLAや第三者認証の取得状況、クラウドベンダー側でのセキュリティ対策などが主な比較ポイントとなります。これらの情報については、クラウドベンダーが公開している「セキュリティホワイトペーパー」や「セキュリティチェックシート」などで確認することが可能です。また、政府情報システムのためのセキュリティ評価制度として、「ISMAP（イスマップ）」があります。ISMAPに登録されているクラウドサービスは、政府が求めるセキュリティ要求を満たしていることになります。

クラウドのセキュリティをもっと知りたい方へ！

ニフクラ/FJcloud-Vでは、クラウドの導入を検討中の方から多く寄せられるセキュリティについての質問事項をまとめたeBook「セキュリティチェックシート よくある質問16選 」。
また、企業のITインフラをクラウド化するにあたって、チェックすべきセキュリティリスクや課題、考慮すべきポイントと対策を解説したeBook「「漠然とした不安」から解放されたい人のためのクラウドセキュリティ読本」を無料で提供しています。ぜひダウンロードしてご覧ください。