クラウドセキュリティとは?リスクや対策、クラウド事業者の比較ポイントなどについて解説! | Codebook|Security News
Codebook|Security News > Articles > 情報セキュリティ > クラウドセキュリティとは?リスクや対策、クラウド事業者の比較ポイントなどについて解説!

情報セキュリティ

ISMAP

ISMAP-LIU

ISMSクラウドセキュリティ認証

クラウドセキュリティとは?リスクや対策、クラウド事業者の比較ポイントなどについて解説!

佐々山 Tacos

佐々山 Tacos

2023.02.24

ここ数年で、クラウドサービスを利用する企業は増えてきています。コロナ禍以降Web会議には欠かせない存在となったZoom、豊富なサービスで企業をサポートするAmazon Web Service(AWS)などをはじめとするクラウドサービスは、業務の効率化、コストの削減、人的リソース節約といった面で多くのメリットをもたらしてくれています。

しかし一方で、オンプレミスでの運用が行われていた際には見られなかったような情報セキュリティ上の問題が、クラウド利用によって発生する可能性があることも事実です。では、具体的にはどのようなリスクがあるのでしょうか?そして、どういった対策を取るべきなのでしょう?今回は、クラウドサービスを安全に利用し、自社のデータを保護するためのクラウドセキュリティについて、リスクや対策、ゼロトラストの考え方などと併せて解説します。また、各省庁が公開しているクラウドセキュリティに関するガイドラインや、信頼できるクラウド事業者・クラウドサービスを選ぶための比較ポイントなども紹介します。

クラウドセキュリティとは?

 

クラウド利用者が注意すべき主なリスク

・クラウドサービスを狙ったサイバー攻撃

・設定ミスによるデータ漏洩

・データ消失・データ残存

・シャドーIT

・サプライチェーンリスク

 

クラウド利用者が講じるべきセキュリティ対策

・アクセスコントロールの設定

・自動ツールを用いたユーザーアクティビティの監視、記録、分析

・クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)ツールの導入

・セキュリティパッチの迅速な適用

・その他の主なセキュリティ対策

 

クラウドセキュリティとゼロトラスト

・ゼロトラストとは?

・クラウドとゼロトラストの関係性

 

クラウドセキュリティに関するガイドライン

・経済産業省のガイドライン

・総務省のガイドライン

・NISCのガイドライン

・IPAのガイドライン

 

クラウドセキュリティに関する認証・資格

・ISMSクラウドセキュリティ認証(ISO/IEC 27017)

・CCSP(Certified Cloud Security Professional)

・CCSK(Certificate of Cloud Security Knowledge)

 

安全なクラウドサービスを選ぶための比較ポイント

・事業者選定のポイント

 - 事業者のセキュリティ対策

 - クラウドセキュリティ関連の第三者認証の取得有無

・クラウドサービス選定のポイント

 - サービス品質保証(SLA)および利用規約

 - ISMAPクラウドサービスリストへの登録有無

 

最後に

クラウドセキュリティとは?

クラウドセキュリティとは、簡単に言うと、クラウド環境のリスクに対して講じるセキュリティ対策のことです。具体的には、データ漏洩や不正アクセスなどにつながる恐れのあるクラウド関連のリスクを特定・理解し、これらのリスクへの対策を講じていくことで、重要なデータの保護体制を整えていきます。

クラウド利用者が注意すべき主なリスク

では、クラウドサービスをめぐるリスクにはどのようなものがあるのでしょうか?具体的なリスクは各企業や各サービスによって異なる場合がありますが、ここでは一般的なものをいくつか紹介します。

クラウドサービスを狙ったサイバー攻撃

クラウドサービスへのサイバー攻撃は、サービスの停止やサービス内の資産への不正アクセス、データ窃取などにつながる恐れがあります。また、サーバーやデータベースなどを複数の利用者(「テナント」)が共有して利用するマルチテナント型のクラウドサービスの場合には、プラットフォームを狙った攻撃が実施されると、本来の標的ではない他の利用者にまで被害が及ぶ可能性もあります。

 

クラウドサービスを狙ったサイバー攻撃としては、以下のようなものが挙げられます。

攻撃のタイプ概要
Dos攻撃やDDoS攻撃DoS攻撃(サービス拒否攻撃)とは、1台のPCを使ってサーバーに大量のデータを送りつけ、システムをダウンさせようとする攻撃のことを言い、複数台のPCで行われる場合はDDoS攻撃(分散型サービス拒否攻撃)と呼ばれます。クラウドサービスはネットワークで提供されるため、こういった攻撃を受けた場合、すべてのサービスが停止してしまう恐れがあります。
EDoS攻撃EDoS攻撃はDoS攻撃の一種で、攻撃対象に経済的損失を与えることを目的として行われる攻撃のことです。従量課金制(利用したリソース量に応じて料金が課金される契約形態)のクラウドサービスの場合、大量のデータを送りつけ、処理を必要以上に増加させてクラウド利用者に経済的負担を負わせるような攻撃に遭うことがあります。
中間者攻撃中間者攻撃とは、二者間の通信に第三者が割り込み、送受信される情報を盗聴したり改ざんしたりする攻撃です。クラウドサービスでは基本的にデータセンターが様々な場所で展開・連携されているため、1対1の接続時と比べて中間者攻撃を受けやすくなります。
ブルートフォース攻撃ブルートフォース攻撃とは、あるIDに対し、考え得るあらゆるパターンのパスワードを試してログインを試行する攻撃のことです。攻撃者は、この手口を用いてクラウドサービスに侵入する場合があります。
フィッシング攻撃フィッシングとは、実在の組織(企業や金融機関、政府機関など)を装ってEメールなどを送りつけ、ユーザー名やパスワードなどの情報を盗み取る手法です。このような攻撃によって入手された情報も、クラウドサービスへの侵入のために利用される恐れがあります。
ランサムウェア攻撃ブルートフォース攻撃やフィッシング攻撃といった手口でクラウドに侵入した攻撃者は、データを窃取するだけでなく、ランサムウェアの展開を目的として長期的にネットワーク上に留まり、攻撃の土台作りを行う可能性があります。

設定ミスによるデータ漏洩

データ漏洩を招くのは、上記のようなサイバー攻撃だけではありません。例えば、クラウド上のデータへのアクセス権限の設定にミスがあり、「すべてのゲストユーザーがアクセス可能」のような設定になっていると、社員や関係者以外がそのデータを閲覧できるようになり、データ漏洩に発展する恐れがあります。実際に、AWSストレージの設定が「公開設定」になっていたことにより情報漏洩が発生した事例は、国内外で多々報告されています。

データ消失・データ残存

クラウドサービス事業者が誤ってデータを削除してしまう、地震や火災などの物理的災害でハードウェアが破損する、といった理由で、クラウド上に保存されていたデータが失われてしまうことがあります。また、クラウドに保存する前にデータを暗号化していた場合は、暗号鍵の紛失によってデータを失ってしまうということも考えられます。

逆に、削除したいデータが完全に削除されないという事態も起こり得ます。特に、マルチテナント環境では自身のデータがクラウド内のどこに保存されているのかを把握しづらく、削除したデータが完全に削除できているのかを確認することが難しくなる恐れがあります。

シャドーIT

従業員が、企業のIT部門から承認されていないクラウドサービス(=シャドーIT)を独断で利用している可能性があります。こういったシャドーITには企業の監視の目が行き届いていないため、簡単に不正利用されやすく、侵害されてしまう恐れがあります。

サプライチェーンリスク

クラウドサービス事業者は、インフラや運用、メンテナンスなどを外部に委託している場合があります。こういった委託先のセキュリティ対策が不十分だと、サプライチェーン攻撃の足がかりにされてしまう恐れがあります。

 

💡サプライチェーンリスクについて詳しくは、以下の記事をご覧ください:​

クラウド利用者が講じるべきセキュリティ対策

上記のようなリスクを踏まえると、クラウドを利用する企業にはどのようなセキュリティ対策が必要なのでしょうか?もちろん、各企業の業務内容や従業員数、保有データの量、利用するクラウドサービスの種類などによって細かな措置は異なってきますが、ここでは基本的な対策をいくつか紹介します。

アクセスコントロールの設定

「各従業員が自身の仕事に必要なアプリケーションやデータのみを使用・閲覧する」、という状態を確保できるよう、アクセス権限のレベルを適切に設定する(アクセスコントロールを設定する)ことが大切です。これにより、「従業員が、本来自分にはアクセス権限がないはずの情報を誤って編集してしまう」などの事態が起こらなくなります。また、たとえ1人の従業員の認証情報がハッキングされたとしても、他の従業員の情報は保護することができます。

管理者アカウント保護の徹底

アクセスコントロールの設定に関連して重要なのが、管理者アカウントを徹底的に保護することです。管理者アカウントが侵害されると、攻撃者はネットワークを広範囲に制御できるようになり、管理者権限で許可されたあらゆる動作を実行できるようになるため、機密性の高いデータを抜き取られるなどの大きな損害がもたらされる可能性があります。管理者アカウントの侵害を防ぐためには、管理者レベルのデバイスからはWebを直接閲覧したり、Eメールを読んだりすることができないように設定する(またはルールを決める)などの対策が有効です。また、一般ユーザーに決して管理者権限を持たせないようなアクセスコントロールを行うことも求められます。

自動ツールを用いたユーザーアクティビティの監視、記録、分析

自動ツールを使ってユーザーアクティビティをリアルタイムで監視し、分析することで、通常の使用パターンとは異なるイレギュラーな動きや異常な動き(例えば、未知のIPやデバイスからのログインなど)を把握することができます。このようなイレギュラーな動きは、何者かがシステムへの侵入を試みていることを示している場合があります。自動ツールを用いてこういった動きを素早く検知できれば、ハッキングなどの被害の発生を未然に防止できる確率が高まります。

クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)ツールの導入

先ほどお伝えした通り、クラウドの設定ミスはデータ漏洩の原因となり得る重大なリスクです。ただ、クラウドインフラの量は膨大であり、手動であらゆる設定ミスをチェックしたり利用状況を検証したりするとなると、担当者の負担が大きくなりすぎてしまいます。特に、クラウドサービスを複数種利用している場合はなおさら人手によるチェックは困難です。したがって、CSPMというツールを導入し、クラウドのエラーや設定ミス、異常などを自動で検出できる体制を作ることが大切です。

セキュリティパッチの迅速な適用

クラウドアプリケーションも他のアプリケーションと同様にソフトウェアアップデートを定期的に行いますが、こういったアップデートには、セキュリティ上の脆弱性(※)を修正するためのパッチが含まれていることがあります。これらのパッチが迅速に適用されず、脆弱性が放置されている場合、サイバー犯罪者がそのクラウドサービスをネットワークへの侵入口として利用し、その後さらなるサイバー攻撃に悪用する可能性が考えられます。

 

※脆弱性に関連するリスクや脆弱性をついた攻撃の事例については、以下の記事内で詳しく解説しています:

その他の主なセキュリティ対策

上記以外にも、以下のような対策を実施することが重要です。

  • 多要素認証の導入
  • データの暗号化
  • バックアップのオフラインでの保管
  • サプライチェーンリスクの把握・理解
  • 従業員へのフィッシング対策トレーニング など

クラウドセキュリティとゼロトラスト

ではここで、クラウドセキュリティを考える上で欠かせない概念である「ゼロトラスト」について見ておきましょう。

ゼロトラストとは?

ゼロトラストとは、以下の図のように、あらゆるデバイスやユーザー、アプリケーションなどを「信頼できないもの」とみなしてセキュリティ対策を講じていく考え方のことです。従来の境界型セキュリティに取って代わるセキュリティの概念として、近年注目されています。

ゼロトラストセキュリティのイメージ

ゼロトラストセキュリティでは基本的に、「データや情報資産などへのアクセスがリクエストされたら、その都度リクエストを確認・検証し、安全性が認められた場合にのみアクセスを許可する」という方式を取ることで、重要なデータや情報資産を保護することを目指します。

クラウドとゼロトラストの関係性

では、なぜクラウドセキュリティにおいてゼロトラストの考え方が重要になるのでしょうか?

そもそも、ゼロトラストの概念が普及する以前に主流だった「境界型セキュリティ」は、社内と社外の境界にファイアウォールなどを設置して防御壁を作り、外部からの攻撃や内部からの情報流出を防止しようとするものでした。しかし、クラウド利用の増加にテレワークの普及なども相まって社内外の境界線が曖昧化し、境界型セキュリティではリスクに対応しきれない状況になってきたことから、ゼロトラストが脚光を浴びるようになりました。

境界型セキュリティでは社内を安全、社外を危険とみなして境界を設置しますが、クラウドを利用するとデータが社外に保存されるため、境界による防御だけでは脅威を防ぎきれません。そのため、クラウドセキュリティにおいては、「社内外の区別なくすべてを疑ってアクセスの認証・認可を行う」というゼロトラストの考え方が有効だとされています。また、ゼロトラスト実現のために使用されるソリューションにはクラウドベースのものも多いです。

ただ、セキュリティの100%をゼロトラストでカバーするとなると、必要なツールやソリューションの量が膨大になるため、全面移行には困難が伴います。実際、米国国立標準技術研究所(NIST)によるゼロトラストに関するガイドライン「NIST SP800-207」には、一度の更新で全面的に移行するのは難しく、段階的な導入を目指すべきである旨が記されています。また、ゼロトラストと境界型セキュリティは多くの企業で永遠に共存して運用される可能性がある、ともされています。

 

💡ゼロトラストに関する詳しい解説や、使用されるソリューション等については、以下の記事をご覧ください:

クラウドセキュリティに関するガイドライン

企業が上記に挙げたようなクラウドセキュリティ対策を実施する上で参考にできるガイドラインが、いくつかの省庁から公開されています。ここでは、経済産業省、総務省、NISC(内閣官房内閣サイバーセキュリティセンター)、IPA(独立行政法人 情報処理推進機構)のガイドラインを紹介します。

経済産業省のガイドライン

「クラウドサービス利用のための情報セキュリティマネジメントガイドライン(2013年度版)」

クラウドサービス利用にかかわるリスク対応のためのガイドラインで、JIS規格「JIS Q 27002(※)」から適切な管理策(情報セキュリティの対策)を選択・導入するための助言と、その管理策を適切に実施するための手引きが提供されています。こちらのURLからご覧いただけます。

※JIS Q 27002とは、ISMS(情報セキュリティマネジメントシステム)を構築するために必要な管理策の詳細が具体的に記された国際規格「ISO 27002」の日本語版規格です。ISMSやISMSに関連するISO規格について、詳しくは以下の記事をご覧ください:

「クラウドセキュリティガイドライン活用ガイドブック(2013年度版)」

実際に発生した情報セキュリティ事故(インシデント)や、企業が抱える様々なセキュリティ上の課題をベースに、ITサービスとしてのクラウドサービスに関するリスクと対策を、事業者と利用者のそれぞれについて解説したガイドブックです。こちらのURLからご覧いただけます。

総務省のガイドライン

「クラウドサービス利用・提供における適切な設定のためのガイドライン(2022年)」

設定ミスが発生しないようにすることと、安全安心なクラウドサービスの利用・提供が行われることを目的として、利用者・事業者双方において共通的に認識しておくべき事項及び具体的な対策について整理し、取りまとめているガイドラインです。こちらのURLからご覧いただけます。

NISCのガイドライン

「クラウドを利用したシステム運用に関するガイダンス(2022年)」

クラウドサービスの安全な運用に重点を置いた、利用者向けの基本的なガイダンスです。もともとは重要インフラ事業者等に向けて策定されたものですが、広く一般にも活用されるよう公表されました。こちらのURLからご覧いただけます。

IPAのガイドライン

「クラウドサービス安全利用の手引き(2019年)」

このガイドラインでは、クラウドを安全に利用するためのチェックポイントが、①選択するときのポイント、②運用するときのポイント、③セキュリティ管理のポイント、の3つのカテゴリーごとにリストアップされています。なお、本ガイドラインはIPA「中小企業の情報セキュリティ対策ガイドライン」の付録です。こちらのURLからご覧いただけます。

クラウドセキュリティに関する認証・資格

クラウドセキュリティには、関連する認証や資格がいくつか存在します。ここでは、以下の3つの認証・資格について簡単に紹介します。

  • クラウドセキュリティに関する第三者認証「ISMSクラウドセキュリティ認証
  • クラウドセキュリティ資格「CCSP」および「CCSK

ISMSクラウドセキュリティ認証(ISO/IEC 27017)

ISMSクラウドセキュリティ認証とは、クラウドサービスを利用する組織/提供する組織がクラウド特有のリスクへの対策を行っていることを証明するための認証のことです。具体的には、ISMS認証を取得している/今後取得する組織に対し、国際規格「ISO/IEC 27017」に規定されるクラウドサービス固有の管理策が実施できていることを認証します。

 

情報セキュリティ全般に関するマネジメント規格である「ISO/IEC 27001」の取り組みを、ISO/IEC 27017に規定されるクラウドサービス固有の管理策で強化することで、クラウド環境にも対応した情報セキュリティ管理体制を構築することができます。

 

💡ISMSクラウドセキュリティ認証や関連規格ISO/IEC 27017について詳しくは、以下の記事をご覧ください:

CCSP(Certified Cloud Security Professional)

CCSPは、クラウドサービスを安全に利用するために必要な知識を体系化した認定資格で、国際的な非営利団体(ISC)²によって運営されています。個人に対し、サイバーセキュリティ、情報セキュリティ、クラウドセキュリティの実務経験に基づく専門的能力と、クラウドセキュリティの専門知識を認証します。

(ISC)²によれば、システムを導入・開発する際にクラウドサービスを優先的に利用しようという考え方「クラウドファースト」を推進する組織においては、クラウドサービスの情報セキュリティを確実に確保できるよう、 CCSP有資格者に管理を任せるケースが増加しているそうです。

CCSK(Certificate of Cloud Security Knowledge)

CCSKはクラウドセキュリティについての幅広い基本的な知識を示すためのもので、正確には認定資格ではなく証明書です。CCSK試験に合格すると、証明書をもらうことができます。国際的な非営利団体クラウドセキュリティアライアンス(CSA)によって運営されています。

安全なクラウドサービスを選ぶための比較ポイント

最後に、安全なクラウドサービスを選ぶための比較ポイントを紹介します。クラウドサービスを選定する際には、まず、以下の点を明確にしておきましょう。

 

  • クラウドサービスの利用対象となる業務
  • 業務に適したクラウドサービスの種類

 

自社にどのようなクラウドサービスが必要なのかが明確になったら、次は、以下に挙げるような指標を参考に、信頼できる事業者・サービスを選定します。

事業者選定のポイント

事業者のセキュリティ対策

クラウドサービス事業者を選定する際に最低限必要なのは、その事業者が基本的なセキュリティ対策を実施しているかどうかを確認することです。具体的には、以下のような対策を講じている事業者の製品を選ぶようにしましょう。

 

  • データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
  • データのバックアップ
  • ハードウェア機器の障害対策
  • 仮想サーバーなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策
  • 不正アクセスの防止
  • アクセスログの管理
  • 通信の暗号化

(参考:総務省「クラウドサービスを利用する際の情報セキュリティ対策」)

クラウドセキュリティ関連の第三者認証の取得有無

先ほど紹介したISMSクラウドセキュリティ認証のような第三者認証は、必要なセキュリティ対策をしっかりと講じている事業者でないと取得できません。逆に言えば、認証を取得できている事業者では一定レベルのセキュリティ体制が構築されているということです。したがって、以下に挙げるような認証の取得有無を事業者選定時の判断基準とするのも1つの手です。

 

  • ISMS認証(ISO27001)
  • ISMSクラウドセキュリティ認証(ISO27017)
  • ISO27018認証(ISMSのアドオン認証で、クラウド上に保管されている個人情報の取り扱いに特化した、クラウドサービス提供者向けの規格)

クラウドサービス選定のポイント

信頼できる事業者を選ぶことに加えて、クラウドサービス自体も安心・安全なものを選ぶ必要があります。ここでは、サービスの安全性・信頼性を確認する際のポイントを2点紹介します。

サービス品質保証(SLA)および利用規約

サービス品質保証(SLA/Service Level Agreement)とは、サービスレベルに関するクラウド事業者・顧客間の合意書のことで、サービスの稼働率、障害発生頻度、障害時の回復目標時間などが記載されてます。SLAを読むことで、そのサービスが、自社がクラウドサービスに求める基準を満たしているかどうかを確認することができます。

また、SLAの確認と併せて、利用規約を読み、データ消失などの被害が発生した際にどこまでが事業者の責任で、どこからが利用者の責任になるのかなどの責任分界点について確認しておくことも重要です。

ISMAPクラウドサービスリストへの登録有無

ISMAPとは、政府機関が安全なクラウドサービスを効率的に選定・調達できるようにすることを目指して作られた制度のことです。そしてISMAPクラウドサービスリストとは、ISMAPが定める統一的な安全評価基準をクリアしたクラウドサービスが記載されているリストのことを言います。つまり、ISMAPクラウドサービスリストに登録されているサービスはいずれも、国の基準によって一定の安全性が保証されているということです。

 

本来ISMAPは政府機関での活用を目的とした制度ではあるものの、民間企業も安全性の目安としてISMAPクラウドサービスリストを利用することができます。ISMAPは2020年に立ち上げられたばかりの新しい制度であり、リストに登録されているサービスの数はまだ少ないですが、今後徐々に増えていくものと思われます。

 

💡ISMAPについて詳しくは、以下の記事をご覧ください:

最後に

近年国内外でクラウド利用が増加しており、今後もその傾向は続くと思われます。クラウドを導入している/今後導入する場合には、上記に挙げたようなクラウドサービスのリスクを把握し、ガイドラインなどを参考にしながら、安全なクラウド環境を作るための対策を講じていきましょう。また、自社のクラウドセキュリティを強化したい、自社のクラウドセキュリティが一定レベルに達していることを対外的に示したい、といった場合には、ISMSクラウドセキュリティ認証などの認証取得を検討してみるのもお勧めです。

 

弊社マキナレコードでは、クラウドセキュリティをはじめとするセキュリティ体制の構築を支援しています。また、ISMS認証やISMSクラウドセキュリティ認証の取得支援サービスもご用意しています。

 

セキュリティコンサルティングサービスについて詳しくは、弊社ホームページをご覧ください。

セキュリティ体制構築支援資料ダウンロードリンク

Writer

佐々山 Tacosライター/翻訳者

著者

2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ