クラウドサービスを利用するときにチェックしたいセキュリティのポイント

  • このエントリーをはてなブックマークに追加

非常に便利なクラウドサービスですが、同時にセキュリティも意識する必要があります。アプリケーションからネットワークまで、さまざまなものがクラウド化しています。そして、好きなときに好きだけ使えるクラウドサービスの普及によって、「所有」から「利用」へと使い方が大きく変わりつつあります。

クラウドにおけるセキュリティは、利用者が行うセキュリティと、サービス側のセキュリティに分けることができます。利用する側のセキュリティ意識が低いと、利用しているサービスへ不正にログインされてしまうといった可能性がありますし、サービス側のセキュリティが不十分だとサービスが止まってしまったり、大切なデータを失ってしまうことがあります。ここではクラウドサービスを安全に利用するためのポイントをまとめました。

1:利用者側のセキュリティ

クラウドのセキュリティを考えるときは、サービスを利用する側とサービス側の両方で考える必要があります。特に、個人で利用する場合にはインターネットを介したサービスであることを踏まえてセキュリティを意識する必要があります。まずは利用者側のセキュリティのポイントをみていきましょう。

1-1:過信は禁物

サーバーやストレージ、インフラに至るまでサービスとして利用できるクラウドサービス。実績もあり信頼性も十分に高く、インターネット経由で何でもできてしまう印象があります。しかし、逆に言えばサービスやインターネットに障害が発生すると、サービスを利用できなくなってしまいます。

クラウドサービスに障害が発生すると、サービスが利用できなくなってしまいます。このため、たとえば複数のクラウドサービスに同じデータを保存しておくことで、ひとつのサービスが使えなくなっても別のサービスを利用することができます。また、すべてをクラウド上に移行する必要はありません。クラウドに上げていいもの、物理環境に置いておくものを見極めましょう。

バックアップは複数のクラウドで

バックアップは複数のクラウドで

また、たとえクラウドサービスに障害が発生していなくても、回線事業者に障害が発生してしまうと利用できなくなってしまいます。そのため、最悪の事態を想定して複数のアクセス経路を用意しておきましょう。たとえば、インターネットプロバイダーの固定回線のほかに、携帯電話キャリアが提供するモバイルルーターを用意しておくことで、切り替えて使用できます。

複数のアクセス回線を用意しておく

複数のアクセス回線を用意しておく

1-2:「野良無線LAN」に注意

クラウドストレージサービスをはじめ、クラウド上に格納されるデータは暗号化されるのが一般的です。しかし、通信経路まで暗号化されているサービスは多くありません。利用者側がSSL(TLS)といった暗号化や、インターネットをトンネリングするVPNを導入するという方法もありますが、クラウド利用においてはまだまだ普及率は高くないようです。

通信経路の暗号化を行っていない場合、気をつけたいのが外出先からの無線LANによるクラウド利用です。回線事業者やキャリアが提供している有償の無線LANサービスであれば問題ないのですが、空港やホテル、カフェなどで無料かつログイン不要で利用できる無線LANサービスは要注意です。

こういった無線LANサービスは、通信が暗号化されていなかったり、暗号化されていても強度が非常に弱いケースが多くあります。このような無線LANサービスは「野良無線LAN」とも呼ばれ、同じ無線LANを利用している別の利用者に通信を盗聴される危険性があります。たとえ無料でも使用しないことが得策です。

「野良無線LAN」の危険性

「野良無線LAN」の危険性

1-3:ログインIDはしっかり管理

クラウドサービスを利用するためのログインIDは、しっかりと管理しましょう。特に、ほかのサービスなどと同じIDやパスワードは避けましょう。ログイン情報の使い回しは、ほかのサービスなどで情報漏えいが発生したときに、同じIDとパスワードの組み合わせを使っていろいろなサービスでログインできるかどうかを試す「パスワードリスト攻撃」の被害にあいやすくなってしまいます。

また、IDとパスワードの組み合わせだけでなく、ほかの要素をログイン認証に加える「多要素認証」を提供しているクラウドサービスであれば、積極的に利用しましょう。

2:クラウドサービスを利用する際にチェックしたいセキュリティ

クラウドサービスは「所有」するものでなく「利用」するもの。このため、サービスの品質を意識する必要があります。どのサービスがより安全、安心して利用できるかを確認することは、個人だけでなく企業でクラウドサービスを利用する際にも重要なポイントになります。

2-1:ファイルや通信経路の暗号化が行われているか

クラウドサービスを利用するということは、クラウドにデータを預けることになります。そのため、万一なりすましや不正アクセスによって第三者がデータを手にしても、中身を見られないように暗号化されていることが理想です。特に、なりすましによってアクセスされた場合に備え、アクセスできるパソコンやスマートフォンなどを限定できれば、より安全といえます。

また、クラウドサービスを利用するための通信経路も暗号化されていることが理想です。たとえばSSL(TLS)などを用意しているクラウドサービスなら、より安全でしょう。

2-2:ログインに多要素認証が用意されているか

クラウドサービスを利用する際には、サービスにログインすることになります。このとき、単純なIDとパスワードの組み合わせでは、その組み合わせが判明されると第三者でもサービスを利用できてしまいます。以前から「辞書攻撃」や、最近では「パスワードリスト攻撃」など、不正なログインを狙う攻撃もあるので、できれば多要素認証を提供しているサービスを選びましょう。

多要素認証とは、IDとパスワードの組み合わせに加え、別の要素を認証に使用する方式です。たとえば、ログインの際に利用者のスマートフォンなどにパスコードを記載したメールを送るものや、秘密の質問に答える、あるいは通常使用するパソコンやスマートフォンをあらかじめ登録し、それ以外の端末からアクセスした際に登録された端末で許可を行うものなどがあります。

暗号化と端末登録によるセキュリティ

暗号化と端末登録によるセキュリティ

2-3:データが多拠点でバックアップされているか

クラウドサービスとはいえ、その実態は物理的なデータセンターです。そのデータセンターに障害が発生してしまうと、サービスを利用できなくなってしまいます。そのため、クラウドサービスの多くは複数のデータセンターを利用し、それらのデータを同期するようにしています。

これにより、ひとつのデータセンターに障害が発生しても、同期していた別のデータセンターでサービスを継続できます。しかも、利用者がそれに気づくことはありません。よりWebサイトや重要なシステムをクラウドで利用する際には、サービス側のバックアップ体制も確認しましょう。

2-4:第三者機関による評価を確認する

クラウドの技術は比較的新しいものですので、これまでクラウドのセキュリティに関する基準や認定といったものがあいまいでした。しかしここ最近、これらが整備されつつあります。今後はこうしたものがクラウドサービスを選ぶ基準になるでしょう。

代表的なものには、2008年から国際的に活動を展開している非営利法人「クラウドセキュリティアライアンス(CSA)」がありますが、その日本支部「CSAジャパン」が2010年に発足しています。CSAジャパンでは、日本の事業環境におけるクラウドセキュリティの実践に関する調査研究を行っています。

CSAジャパン

CSAジャパン

また2013年には、特定非営利活動法人 日本セキュリティ監査協会(JASA)の下部組織として「JASA-クラウドセキュリティ推進協議会」を発足しています。ここでは、「クラウド情報セキュリティ監査」を実施しています。

これは、事業者が行うべき情報セキュリティマネジメントの基本的な要件を定め、事業者が遵守しているかを評価し、安全性が確保されていることを利用者に明確にする仕組み。監査を終えた事業者には、Webサイトなどに貼り付ける「言明書ロゴ(サービスロゴ)」が提供されます。

JASA-クラウドセキュリティ推進協議会

JASA-クラウドセキュリティ推進協議会

ただし、これらの認証は完全に普及している状況とはいえません。現状では、認証がないからといって、そのサービスが信頼できないものということにはならないのです。インターネットなどで、そのサービスの利用者による評価や感想などをチェックしてみるといいでしょう。

3:最後に

クラウドサービスの登場によって、これまで物理的な機器を用意する必要があったさまざまなものを、サービスとして利用することが可能になりました。申し込むだけですぐに利用でき、機器の管理や運用も不要なため、安価で「使いたいときに使いたいだけ」使えることが最大のメリットです。ただし、クラウドにも落とし穴がありますので、正しい知識を持ってサービスを選び、賢く利用しましょう。

 

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

  • このエントリーをはてなブックマークに追加
パソコンの動きが遅いと感じたら、
無料でウイルススキャンしてみませんか?
ノートンセキュリティ

あなたは現在、パソコンの動きが遅い、ソフトがすぐに落ちる、重要なデータが開けない、 などのおかしな症状に悩まされていませんか? 
近年、ネット犯罪が増加し、様々なトラブルが発生しています。「自分は大丈夫だろう」と対策を怠った結果、 知らないうちに、悪質なウイルスに感染してしまうことも少なくありません。

あなたのパソコンが安全かどうかを調べるもっとも確実な方法は、セキュリティソフトを使った『ウイルススキャン』です。この方法は、以下のようなメリットがあります。

  • ボタンひとつで、パソコン全体を簡単にスキャン
  • ファイルを隅々まで調べ、ウイルスを高確率で検出
  • 危険なウイルスを発見次第、そのまま駆除

現在、ノートンセキュリティでは、30日間無料で最新版がご利用いただけます。今すぐインストールして、ウイルススキャンをしてみてください。



2ヶ月間の無料体験版
ノートンセキュリティの魅力とは?