クラウドセキュリティとは？実施すべき8対策と知っておきたいリスク＆国際基準

クラウドサービスは、どこからでもアクセスでき、同時に複数人で利用できます。利便性が高く業務効率化につながるため、多くの企業で導入が進んでいます。

しかし、クラウドの活用には情報漏洩や不正アクセスといったリスクもあるため注意が必要です。企業の信頼性を守るには、特性を正しく理解したうえで適切な対策が欠かせません。

本記事では、クラウドセキュリティの基本やリスク、国際基準、具体的な対策について分かりやすく解説します。クラウドサービスを安心して使いこなすために、ぜひ最後までご覧ください。

クラウドセキュリティとは

クラウドセキュリティとは、クラウド上のデータやシステムを保護するための対策です。

クラウドはインターネット経由で利用されるため、外部攻撃のリスクが生じます。そのため、クラウドサービスを提供する多くの企業（クラウドベンダー）は堅牢なセキュリティ対策を講じています。

一方で、すべてをベンダーに任せるのではなく、運用ポリシーの整備や社員教育など利用者側の主体的な取り組みも必要です。

オンプレミスとの違い

クラウドサービスと比較されるのが、自社内にサーバーやネットワーク機器などのITインフラを設置して運用管理するオンプレミスです。

オンプレミスではインフラからソフトウェアまでを自社で管理しますが、クラウドの場合インフラ部分はクラウドベンダーが担います。

クラウドサービスはスケーラビリティが高く導入費用が抑えられるのが特徴です。オンプレミスとクラウドサービスとの違いやメリット・デメリットについては、関連記事で詳しく解説しています。

関連記事：「オンプレミスとは？クラウドとの違いを徹底比較し移行するメリットやデメリットをわかりやすく解説」

クラウドセキュリティの重要性と求められる背景

クラウドの利便性は多くの企業に評価され、業種や規模を問わず導入が進んでいます。SaaSやIaaSなどの活用により、業務効率の向上や初期投資の削減といったメリットが得られるため、DX推進の一環としてクラウドを選ぶ企業が増加しています。

一方で、導入のハードルが低いことから、特性やリスクを十分に検討しないまま導入している企業も少なくありません。

そのため、アクセス権の管理不備や設定ミス、従業員の教育不足などでセキュリティインシデントにつながるリスクが高まっている状況です。

実際、クラウドサービスを利用している企業のなかには、情報漏洩や不正アクセスなどの被害を経験した事例も増えています。

クラウド活用の普及に比例して新たな脅威へ対処するためにクラウドセキュリティが強く求められています。

クラウドサービスを導入する企業の増加

クラウドサービスは、導入が容易で初期投資が抑えられるため、多くの企業に利用されています。新型コロナウイルス対策や働き方改革によりテレワークが普及したことも、クラウドの利用機会拡大を後押ししています。

しかし、導入が進む一方で、セキュリティ対策が不十分なまま運用されていることも少なくありません。クラウド特有のリスクを正しく理解した対策が必要です。

クラウドサービスで懸念されるリスク

クラウドサービスの利用に際し、いくつかのセキュリティリスクが伴います。ここでは、企業が特に注意すべき代表的な4つのリスクについて解説します。

情報漏洩

クラウドに保存された顧客データや社内機密、個人情報などが、第三者に不正に取得されるリスクが生じます。主な原因としてアクセス制御の不備、設定ミス、ヒューマンエラーなどがあります。

退職者の権限を付与し続けていたり共有リンクの公開範囲を設定していなかったりすると、情報漏洩のリスクが高まるため注意が必要です。

データ紛失・破損

クラウドのシステム障害や、ユーザーによる誤削除、マルウェア感染などが原因で、重要な業務データが消失するリスクもゼロではありません。

自動バックアップが用意されていても、復元に時間がかかることや復旧できない場合もあるため、定期的な手動バックアップの運用も併用することをおすすめします。

サイバー攻撃や不正アクセス

クラウドは常時インターネットに接続されており、サイバー攻撃や不正アクセスの対象になりやすい環境です。

IDやパスワードの流出による不正ログインやDDoS攻撃、ゼロデイ攻撃などがあります。多要素認証やIP制限の導入による対策の強化が必要です。

シャドーIT

シャドーITとは、会社の許可を得ずに個人で導入したクラウドサービスを業務に利用する行為です。外部とのファイル共有やチャットアプリなどが該当します。

従業員が独自にさまざまなクラウドサービスを利用すると、会社の管理が行き届かないため情報漏洩のリスクが高まります。シャドーITを防ぐために、業務上利用できるサービスを明確にしてIT資産の可視化と統制を徹底しましょう。

クラウドサービスの種類と責任分界点の理解

項目1	SaaS	PaaS	laaS
概要	従来パッケージで提供されていた ソフトウェアを、クラウド上で 利用可能にしたサービス	アプリ開発や実行環境など、 ソフトウェアの土台を クラウドで提供するサービス	サーバー・ネットワーク機器・ ストレージなどインフラを 仮想的に提供するサービス
ユーザー企業の責任範囲	データ	データ アプリケーション	データ アプリケーション ミドルウェア OS
クラウドベンダーの責任範囲	アプリケーション ミドルウェア OS 仮想基盤 ハードウェア	ミドルウェア OS 仮想基盤 ハードウェア	仮想基盤 ハードウェア

クラウドサービスは「SaaS」「PaaS」「IaaS」の3種類に大きく分類され、セキュリティの責任範囲が異なります。それぞれの責任分界点について解説します。

SaaS

SaaSはアプリケーションそのものを提供するクラウドサービスです。メール、会計ソフトなどが代表例で、システムの運用はすべてクラウドベンダーが担当します。

アカウント管理やアクセス制御、入力データの管理が利用者の主な責任範囲となります。

PaaS

PaaSはアプリケーションの開発や実行に必要なプラットフォームを提供するサービスです。

インフラを構築せずに開発できる一方、作成したアプリやデータベースのセキュリティ設計はすべてユーザー側の責任となります。PaaSを利用する際は設計段階から脆弱性への配慮が必要です。

IaaS

IaaSはサーバーやストレージなど、インフラの提供に特化したサービスです。

OSの構築からソフトウェアの設定、アクセス制御、ログ管理まで、ほぼすべてをユーザーが担います。自由度が高い反面、セキュリティ対策も自己責任となるため、高い技術力と継続的な運用体制が必要です。

総務省提供のクラウドセキュリティガイドラインとは

総務省が策定する「クラウドサービス利用・提供における適切な設定のためのガイドライン」では、クラウドサービスを利用する企業と提供する企業に向けて、安全性確保のための指針が示されています。

クラウドは利便性が高い反面、情報漏洩や不正アクセス、データ消失といったリスクも伴います。

ガイドラインではこうしたリスクを正しく理解して安全性を確保するために、導入前・契約時・運用中・利用終了時といった各フェーズで企業が取るべき実務的な対策が詳しく書かれています。

責任分界点の明確化、アクセス制御、ログの取得、データ削除の手続きなど、実務に即した内容が豊富で、クラウド活用を検討する企業にとって有益な内容です。クラウドの安全な運用に向けて、目を通しておきましょう。

参考：「総務省│クラウドサービス利用・提供における適切な設定のためのガイドライン」

世界の主要セキュリティ基準

クラウドセキュリティには、国際的に信頼性のある基準や認証制度があります。

こうした基準は、クラウドサービス提供事業者を選定する際の重要な判断材料としても利用できます。ここでは、主要な基準について解説します。

ISMS（ISO 27001）

ISMSは、情報セキュリティマネジメントシステムの国際標準規格です。情報資産を機密性・完全性・可用性の観点から保護するための管理体制を整備します。

ISO 27017／27018

ISO 27017はクラウドサービス提供者と利用者の両者に向けた、セキュリティ管理策のガイドラインです。ISO 27001をベースに、クラウド特有の脅威に対応したルールが記されています。

ISO 27018は個人情報の保護に焦点を当てた国際規格で、個人情報を扱うクラウドサービスに適した基準です。

ISO 27002をもとに、個人情報を安全に扱うための運用ルールや、第三者提供時の制限、データ削除の方法などが含まれています。

NIST CSF

NIST CSF（Cybersecurity Framework）はNIST（米国立標準技術研究所）が策定したサイバーセキュリティ対策のフレームワークです。

無償で公開されており、業種や規模を問わず活用できる実践的な手法として、国内外の企業に広く採用されています。

CSマーク

CSマークはクラウドサービスのセキュリティ対策状況を可視化するための評価制度です。CSマークにはゴールドとシルバーがあり、取得手順は次のとおりです。

項目	概要
シルバー	JCISPAの会員が内部監査を実施して申請
ゴールド	・JCISPAの会員は内部監査・外部監査を経て申請 ・会員以外は内部監査・外部監査を経てCSマーク一般応募事業者審査を通過

クラウド利用者はサービス選定時の参考にできます。

クラウドサービスを利用時に実施したいセキュリティ対策

クラウドサービスを安全に活用する際は、すべてをベンダーに一任するのではなく、利用者側でも積極的なセキュリティ対策が必要です。ここでは、クラウドを運用する際に取り組みたい基本的な8つのセキュリティ対策を紹介します。

多要素認証によるユーザー認証の強化

IDとパスワードの知識情報だけでは不正ログインのリスクがあります。多要素認証（MFA）を導入すると、認証情報が漏れても第三者によるアクセスを防ぎやすくなります。

多要素認証とは知識情報だけでなく、指紋や顔認証といった生体情報、スマートフォンの所持情報のうち2つ以上を組み合わせて認証する仕組みです。

ゲストユーザー・共有設定の適切な管理

共有リンクやゲストユーザーの設定ミスは、情報漏洩の大きな原因になります。リスクを最小限に抑えるためにも、クラウド上でのファイルやフォルダの共有範囲を定期的に見直して不要な権限を削除しましょう。

最小権限ベースのアクセス制御

フォルダやファイルごとに「誰にどこまでアクセスを許すか」を明確に設定しましょう。業務に必要な最小限のアクセス権だけを付与する「最小権限の原則」によって、誤操作や内部不正のリスクを抑えられます。

機密データの暗号化

機密性の高いデータは、保存時も転送時も暗号化するのが基本です。暗号化すると、万が一データが盗まれたとしても、内容を読み取られるリスクを低減できます。データを守るためには、暗号鍵の管理方法もあわせて検討しましょう。

定期的なバックアップとディザスタリカバリ

クラウド任せにせず、操作ミスや障害に備えて定期的なバックアップを取っておきましょう。

自然災害やサイバー攻撃でシステム障害が発生した場合でも、影響を最小限に抑え迅速に業務を復旧するために欠かせないディザスタリカバリ計画の策定も欠かせません。

監査ログの取得と継続的モニタリング

ユーザーの操作ログやシステムのアクセス履歴を取得すると、不正や異常の兆候を早期に発見できます。監査ログは自動で取得・保管し、定期的に確認・分析する体制を整えることがセキュリティ維持に役立ちます。

脆弱性・パッチ管理の徹底

クラウド上で動作するシステムやソフトウェアにも脆弱性は存在します。OSやアプリケーションの血管や脆弱性を修正するセキュリティパッチを定期的に適用し、脆弱性を放置しない運用体制が必要です。

ユーザー教育とフィッシング対策

技術的対策だけでなく、従業員のリテラシー向上も不可欠です。フィッシングメールや偽ログイン画面を見たときに適切に対応できれば、被害を最小限にとどめられます。定期的にセキュリティ研修を実施しましょう。

スパイスファクトリーでできること

クラウドセキュリティは、単に仕組みを整えるだけでなく、運用のしやすさや現場での使われ方も含めて設計することが大切です。

スパイスファクトリーでは、セキュリティを意識したAWS環境の構築やシステム設計など実装から運用まで一貫して支援しています。

クラウド環境での業務効率化やセキュリティ強化を両立させるアジャイル開発、プロトタイピング、PoC（概念実証）にも対応しています。現場の声を取り入れながら段階的に改善を進められるのが強みです。

まとめ

クラウドサービスは利便性が高く、業務効率化につながるため多くの企業が導入しています。

一方で、情報漏洩や不正アクセスなどのリスクもあるため、適切なセキュリティ対策が必要不可欠です。

クラウドセキュリティはクラウドベンダーだけでなく、利用者自身もユーザー教育やアクセス制御や暗号化などさまざまな対策が求められます。導入前のリスク評価や、利用後の運用ルール整備も含めた継続的な取り組みが必要です。

国際的なセキュリティ基準や総務省のガイドラインなども参考にしながら、信頼性の高いクラウド環境を構築していきましょう。

また、昨今はAIの活用も広がっています。AIを活用すれば大きな効率化が図れます。一方、活用する際のセキュリティに対して不安を抱えている企業は多いのではないでしょうか。

スパイスファクトリーはAI技術を活用する際の基本方針を定めています。AIのリスクや社会的責任を踏まえたうえで、正しく活用する取り組みを推進しています。

クラウドの導入や運用、そしてAIの活用に不安がある方は、スパイスファクトリーまでお気軽にお問い合わせください。

AI活用の基本方針について、詳しくはこちらの記事をあわせてご覧ください。

関連記事：「スパイスファクトリー、AI基本方針を策定」