クラウド検討時にチェックしておきたいセキュリティとリスクのポイント

クラウド導入を躊躇する最大の理由はセキュリティの不安

ITシステムへのサイバー攻撃のリスクは、日々増大し続けています。サイバーセキュリティタスクフォース事務局がまとめた「サイバー攻撃の最近の動向等について」においても、サイバーセキュリティ上の脅威が増大していることが報告されています。

以前より、オリンピックイヤーには大規模なサイバー攻撃が増えることが予想されていました。そして、実際にクラウド・オンプレミスといったプラットフォームの区別なく、企業や組織にさまざまな被害をもたらしています。その原因としては、新型コロナウイルス感染症対策やニューノーマルにおける働き方としてテレワークが普及したこと、それと同時に社会全体のDXが進み、システムへの侵入経路が増加したことなどが挙げられるでしょう。

新型コロナウイルス感染症の広まりによって、パンデミックへの対策や緊急事態下における事業の継続性において、官民ともに非常に大きな課題を抱えていることが浮き彫りになってしまいました。これは、主にIT化の遅れに起因しており、この現状を打開するためにもDXの推進が急務とされているのは周知の事実です。2018年に経産省が公開した「DXレポート ～ITシステム「2025年の崖」克服とDXの本格的な展開～」によると、2025年までに旧来のレガシーシステムと呼ばれるIT基盤を破棄してDXを実現しなければ、年間最大12兆円の経済損失が生じるであろうという試算が出されています。しかし、コロナ禍によって、この問題が2025年を待たずして顕在化してしまったと言えるでしょう。

DX推進の第一歩としては、クラウドの利用が非常に有効です。しかし、総務省による令和2年度の情報通信白書によると、クラウドを利用しない最大の理由として「情報漏えいなどセキュリティに不安がある」が31.8％という数値で一位にランクインしています(「必要がない」を除く)。この数値は年々少しづつ減少してきてはいるものの、依然として大きな数値であり、クラウドに対する漠然とした不安が根強く残っていることを表していると言えるでしょう。

従来のオンプレミス環境の多くは社内に「閉じて」いました。そのため、社外からの攻撃に対しては、一定の安全が確保されていたと言えます。対して、クラウドはクラウドベンダーが用意した環境に対し、インターネットを経由してアクセスします。いわば「開いた」場所にシステムやデータを置くことになるため、「オンプレミスなら安心だがクラウドは不安」と心情的に思ってしまうのも無理はないことかもしれません。

しかし、テレワークをはじめ、現在では社外から社内ネットワークへのアクセスを必要とする機会が増えています。つまり、本来社内に閉じていたはずのオンプレミスも、内部と外部の境界が曖昧になりつつあるのです。その結果として、インターネットからのさまざまな脅威に対して「オンプレミスだから安全」とは言えなくなってきています。

クラウドに対する不安を払拭するため、本記事ではクラウドにおけるセキュリティの基本的な考え方やオンプレミスとクラウドのセキュリティ対策の違いを解説します。

クラウドセキュリティの基本的な考え方とは

セキュリティに対する考え方における、オンプレミスとクラウドの最大の違いは、ユーザーとクラウドベンダーの間に責任分界点が存在することです。

ユーザー自身が運用するオンプレミスでは、ハードウェアからアプリケーションまで、システムを構成するすべてのレイヤーにおいて、ユーザーの責任でセキュリティ対策を行わなければなりません。対して、クラウド（IaaSの場合）では、ハードウェアや仮想化基盤の運用についてはクラウドベンダーが責任を負い、その上で動作するOS・ミドルウェア・アプリケーションについては、ユーザーが責任を負うことになっています。このように責任分界点を境界とし、ベンダーとユーザーがそれぞれの範囲で責任を負うという考え方を「共同責任モデル（Shared Responsible Model）」と呼びます。

共同責任モデルの導入により、オンプレミスではユーザー自身で行わなければならなかった作業の一部をクラウドではクラウドベンダーに任せることができます。ユーザーが責任を負わなければならない範囲を絞ることができるため、人件費も含めたシステム全体の運用コスト面において、大きなアドバンテージと言えるでしょう。

また、オンプレミスでは作業を行うユーザー自身に幅広い専門知識や運用技術が求められます。もしも、知識や技術が十分でないと、サービスの安定性やセキュリティの質に直結してしまうため、運用担当者の負担は決して軽いものではありません。しかし、信頼できるクラウドベンダーに運用を任せることで単に運用コストを削減できるだけでなく、セキュリティの質そのものを向上できる可能性もあります。

しかし、これらはあくまでクラウドベンダーの責任範囲内の話であり、ユーザーの責任範囲においては、オンプレミスと何ら変わらないと思うかもしれません。実は多くのクラウドベンダーは、ユーザーの責任範囲に関しても、サービスとしてさまざまなセキュリティ向上のためのオプションや機能を提供しています。そのため、クラウドはユーザーの責任範囲においても、すべてを自身で実装しなければならないオンプレミスと比べて、必要な対策を簡単に導入できるというメリットがあります。

オンプレミスとは違うクラウドならではのリスクと対策

オンプレミスもクラウドも、ITシステムとしての基本的なセキュリティ対策の考え方に大きな違いはありません。しかし、クラウドに特有の考慮すべきポイントもまた存在します。

前述の通り、クラウドで提供されるサービスのうち、クラウドベンダーの責任範囲にある部分は運用をベンダーに任せることができます。これは、運用コスト面で大きなメリットとなる反面、ユーザーが直接コントロールすることが困難であり、ある意味ではデメリットであるとも言えるでしょう。例えば、以下に挙げるような部分は、ユーザー自身によるコントロールが困難となっています。

• クラウド上に保存されているデータの秘匿性
• 大規模システム障害発生時の可用性の低下
• クラウドベンダーのサプライチェーンのリスク(クラウドベンダーが内部で利用している別のサービスでのトラブルによる影響）
• マルチテナント（リソースを他社と共有すること）によるパフォーマンス劣化などのリスク
• クラウドベンダーの倒産によるサービスの終了

そのため、利用するクラウドサービスを選定する際には、システムが要求する水準とかかるコストやメリット、懸念されるリスクなどを総合的に評価する必要があります。利用するクラウドベンダーが、どのようなセキュリティ水準でサービスを提供しているかは、提示されているSLAや規約/約款、ホワイトペーパーなどで、必ず事前に確認するよう心掛けてください。

例えば、ニフクラでは、利用規約、SLA、SLOなどをWebサイトで確認することが可能です。

客観的にクラウドの安全性を判断する方法

クラウドサービスの安全性を客観的に判断するためには、クラウドベンダーが公開している資料だけでなく、第三者機関による認証制度も参考にするとよいでしょう。有名な認証制度には、2005年に国際標準化機構（ISO）が策定した「ISMS（情報セキュリティマネジメントシステム）」の国際基準規格ISO 27001やISO/IEC27017に基づくISMSクラウドセキュリティ認証などがあります。

また、ユーザー企業の業種によっては、その業種に特有なセキュリティ要件が存在する場合もあります。例えば、金融機関であれば、FISC安全対策基準への適応性を確認する必要があるでしょう。また、政府公共系の要件であれば、ISMAPへの登録が必須となる場合もあります。

それ以外にも個別の要件がある場合は、クラウドベンダーに確認を行いましょう。利用するクラウドサービスが自社のセキュリティポリシーを満たしているかどうかを確認するには、セキュリティチェックシートを利用するのもお勧めです。