クラウドストレージのセキュリティリスクと対策、中小企業におすすめのサービスをご紹介
クラウドストレージとは、インターネット上でファイルのバックアップや共有をするサービスです。オンラインストレージとも呼ばれ、Google DriveやMicrosoft One Drive、Dropbox、Boxなどさまざまなサービスがあります。
これまでは企業がファイルサーバを自前で用意し、アクセス権限の管理や外部からの不正アクセスに対するセキュリティ管理をする必要があり、企業側の負担が大きいことが課題となっていました。
そして、ここ数年は急速に広まっているリモートワークなど、企業の勤務環境や接続するデバイスについても多様化しています。そういった環境変化に企業内の設備だけでは対応が難しいため、クラウドストレージの利用が増えているのです。
クラウドストレージは、企業側の管理負担はかなり小さくなる反面、セキュリティリスクという意味では情報漏洩により、企業経営に致命的な影響を与えてしまう可能性があります。そのため、環境の適切な理解と管理が必要となるのです。
クラウドストレージに潜むセキュリティリスクとは?
クラウドストレージはとても便利なサービスですが、企業の重要な情報をインターネット上に保管するため、さまざまなセキュリティリスクが付随します。そのためどのようなリスクがあるか、あらかじめ十分に認識しておくことが必要です。セキュリティリスクの例としては、具体的に以下のものが挙げられます。
1. 不正アクセスによる情報漏えい
クラウドストレージのサービス事業者へ悪意ある第3者が不正アクセスし、保管されているデータを盗みとられてしまう可能性があります。特定の会社のデータをターゲットとするパターンと、サービス事業者が保持するデータをターゲットとするパターンがあります。利用者側としては対策の打ちようがなく、サービス事業者のセキュリティ対策を信じるしかありません。
2. アカウント情報の漏えいによる悪意ある第三者のアクセス
インターネット上のサービスを利用する上で、もっとも大切なのはアカウント情報です。たとえサービス事業者に問題なくても、正規のアカウント情報(ログインIDやパスワード)を用いてログインすれば、誰でも何でも行うことができてしまいます。管理負荷を理由に全ユーザーへ一律に権限を付与するのではなく、組織別、ユーザー種別の権限付与を検討しましょう。それによって、仮に不正アクセスが発生したとしても被害を最小限に抑えることができます。
3. サービス事業者のサーバやNW停止によるサービス利用不可、データ消失
サービス事業者の所有するサーバやストレージが、何らかの理由で使用できなくなるリスクも存在します。例えば、OSやファームウェアのバグにより時限的に発生する障害や、サービス事業者の利用するネットワーク回線の障害などがこれに該当します。
4. サイバー攻撃
データの窃盗や破壊などのサイバー攻撃は、その目的やターゲットによりさまざまな方法で行われます。不正アクセスもサイバー攻撃のひとつです。特に昨今はランサムウェアと呼ばれるマルウェアによりシステムを使用不能にし、元に戻す代わりに身代金を要求する非常に悪質な攻撃も話題になっています。
5. 機器障害や災害等による機能停止
台風や地震などの自然災害により、物理的にサービス提供できなくなる可能性があります。その結果、インターネット上に保管されたデータにアクセスできなくなるリスクも考えられるでしょう。最悪の事態として、サービス事業者が復旧を諦め、保管されたデータそのものが消失してしまうこともありえます。
クラウドストレージのセキュリティ事故の事例
法人向けサービスでセキュリティ事故が発生した場合、その影響範囲は幅広く、社会的な問題にもなりかねません。ここで、実際に起きたセキュリティ事故の事例をご紹介します。
1. 米インターネット検索大手のオンラインサービスのセキュリティ障害(2009年)
本来は非公開のドキュメントが共有されてしまったという事例です。影響範囲は比較的小規模(160万人のうち0.05%)でしたが、非公開文書を閲覧できる状態になっていました。こういった場合、影響範囲や機密情報のインパクトの大小は問題ではなく、機密情報が意図せず見える状態であったことは大変重大な出来事であり、原因の究明・対策を必ず行う必要があります。
2. 米有名オンラインストレージによるセキュリティ障害(2011年)
パスワードを知らなくても、メールアドレスだけ知っていればアカウントにアクセスできてしまう問題が発生しました。原因は、プログラム更新時のプログラムのミスとのことです。ログイン方法を一段階のみ(パスワードのみ)にしていた場合、この事象が発生している間は第3者によって好き勝手にされてしまう状態でした。ユーザーにできる対策として、二段階認証やIPアドレスやログイン端末指定によるログイン制限など、パスワード入力以外の方法を付加することでセキュリティの安全を確保することができます。
クラウドストレージのセキュリティリスク対策
クラウドストレージを利用すれば、さまざまなシーンにおいて利便性が向上することは間違いありません。しかし、同時にセキュリティリスクと常に隣り合わせということを、利用者が認識し、対策を考えておく必要があります。
これまでの社内システムでは、企業の情報部門または関連する情報会社が一括してシステムを管理するパターンがよく見られました。しかしクラウドサービスでは、利用者が自ら対策しなくてはいけません。ここでは、自ら行える主なセキュリティリスク対策をご紹介します。
アカウント情報を厳重に管理する
ログインIDとパスワードは、他の人に知られないようにしなければいけません。ただし、会社のアカウントの場合は社員番号など、同じ社員であればログインIDを知ることができます。そのため、パスワードの管理を厳格に行う必要があるでしょう。その上で、以下3点がとても重要です。
・定期的なアカウント情報の変更
企業のセキュリティポリシーによって、「60日間隔」や「90日間隔」などのように決まっていることが多いです。仮に、どこかにメモしたパスワード情報が漏えいしても、一定期間を過ぎれば別のパスワードになることから、定期的な変更は有効な対策といえます。
・複雑なパスワードにする
すべて同じ文字列、自分の名前や生年月日、社員番号など社内で自身を表す文字列など、他人でも思いつくものではパスワードを設定する意味がありません。なるべく長く、複数の文字種(半角英字、半角数字、大文字、小文字、記号)を組み合わせることで、総当たり攻撃でパスワードが破られる危険性が下がります。
・他サービスと同じパスワードを使い回さない
他のサービスで使っているパスワードが漏えいした場合に、同じパスワードを使って別のサイトにログインされてしまう可能性があります。
・2段階認証を導入
2段階認証とは通常のIDパスワードと、別の認証方法を組み合わせたログイン方法です。主な認証方法は2種類あり、通常のログイン情報を2回入力する方法と、SMSやメール、音声通話、通常のログイン情報とは違うワンタイムパスワードなどを用いた方法があります。
データのバックアップを別の場所に保管する
企業活動において、各種データの保全は非常に重要です。ファイルサーバや外付けハードディスクに保管するより、クラウド上にデータを保管すれば物理的な障害よりは安全ですが、クラウド上にだけデータを保管するのはおすすめできません。そこで、バックアップを取得する際の「321ルール」という考え方があります。以下の考え方を参考に、自社の対策を検討すると良いでしょう。
「321ルール」の3:データは3つ持つ(本データの他にバックアップを2つ持つ)
「321ルール」の2:2つの別のメディアでバックアップを持つ
「321ルール」の1:バックアップのうち1つは別の場所で保管する
セキュリティ対策が厳格なクラウドストレージサービスを選択する
さまざまな業者がサービスを提供していますが、利用者は基本的なセキュリティ対策をサービス事業者に任せるしかありません。また、利用者側が使用することができるセキュリティ対策についても、どのようなメニューがあるか確認する必要があります。主な内容は以下の通りです。
a. サービス事業者が提供している基本的なセキュリティ対策
・データセンターの物理的侵入対策
・仮想サーバなどのOS、ソフトウェア、アプリケーションの脆弱性の確認と対応
・アクセスログの管理、不正アクセス対応
・通信の暗号化
b. 利用者が使用できるセキュリティ対策
・ログイン時の二段階認証、多要素認証
・連続ログイン失敗時のアカウントロック
・アクセス権限管理
クラウドストレージを安全に使うために必要な機能
セキュリティ対策がどのように施されているかはサービス事業者によって異なりますが、以下のような基本的な対策は、多くのサービスで提供されています。
1. 外部脅威への対策機能
・通信の暗号化
・保管データの暗号化
・保管データアップロード時のウィルスチェック
・セキュリティポリシー設定
・認証機能(2段階認証、多要素認証、ワンタイムパスワード等)
2. 内部脅威への対策機能
・アクセス権限管理
・操作ログ管理
・端末管理
・デバイス認証
3. データ消失時の対策機能
・ファイル履歴管理
・データ保管場所の冗長化
4. データセンターのトラブルに対するセキュリティ対策
・入退室管理
・セキュリティエリアの設定、アクセス権限設定
・インフラ(データセンター)の冗長化
クラウドストレージを選ぶポイント
ここまで、クラウドストレージのセキュリティリスクやその対策、必要な機能について解説しました。では、実際にサービス事業者を選ぶ際にはどのようなポイントがあるか、重要なポイントを挙げてご説明します。
セキュリティ対策が万全か
企業活動で使用するデータを保管する場合、当然ながら個人情報や社外秘、関係者外秘の情報が含まれます。そのため、しっかりセキュリティ対策が施されているか確認することが必要です。特に注意するべきポイントは、外部からのアクセスに対して対策が施されているか、内部利用者の権限管理やアクセス履歴の管理ができるかなどです。外部リスクと内部リスクの双方から対策の有無を確認しましょう。
ユーザーにより共有範囲や共有時の権限を指定できるか
どのようなデータをどのように共有するかは、一律に決めることはできません。そのため、「閲覧のみ」「編集可能」などユーザー側で適切な共有方法を選択できるようにしましょう。
管理機能が充実しているか
企業がクラウドストレージを利用する場合、個人の知識・裁量だけでは、セキュリティリスクへの対応には限界があります。企業内部の管理者が「共有範囲」や「共有方法」など会社としてのセキュリティポリシーを明確にし、そのポリシーを実現するための管理機能が提供されているか確認することが必要です。
中小企業の満足度が高いおすすめのクラウドストレージサービス4選
クラウドストレージを選ぶポイントを踏まえて、おすすめのクラウドストレージサービスをご紹介します。
Google Drive
Googleが提供するクラウドストレージです。個人向け、企業向け双方に提供されており、企業向けではGoogle Workspaceの中の1ツールとなっています。
何も設定しない状態では、Drive上に作成されたファイルは自分だけがアクセス可能です。ファイルを共有する際には、ファイル単位とフォルダ単位のどちらにも権限が設定できます。権限の種類は「編集権限」と「閲覧権限」の2つで、共有範囲は特定の指定したユーザーにのみアクセス可能にするか、全ユーザーが制限なくアクセス可能にするか、共有対象の要件を考慮して決めることができます。また、企業の管理者は管理コンソールを使用して、共有状況や監査ログの確認ができます。
OneDrive for Business
Microsoftが提供するクラウドストレージの企業向けプランです。共有する際には、「匿名」「組織内」「Microsoftアカウント」という3種類の共有範囲を選ぶことができます。「匿名」にすると無制限にファイルを見られてしまうため、共有範囲の設定時は注意が必要です。共有ファイルに対して有効期限(公開期限)を設定できるため、適切に設定すれば仮に意図しない範囲まで共有されても、影響を抑えることができるでしょう。企業の管理者は、SharePoint 管理センター経由でさまざまな設定ができます。
Drobox Business
Google DriveやMicrosoft OneDriveには、チャットなどのコミュニケーションツールやカレンダーなどのスケジュール管理ツールなど、ビジネス用ツールが同じサービス内に含まれています。一方、Dropboxはストレージ機能をメインとしているツールです。機能がストレージ機能に特化しているため、他サービスのツールとの連携機能が豊富です。Google Workspace、Zoom、Slack、Microsoft Office等有名サービスと連携してツール利用することができます。そして、企業の管理者は管理コンソールを使用して、さまざまな設定や操作が行えます。
参考:https://www.synnex.co.jp/vendor/vendors/dropbox/
おてがる!コワークドライブ
TDシネックスとNTT東日本が協業してサービスを提供する国産のストレージサービスです。ストレージ機能に特化しており、ファイルサーバと同じ操作感でファイルを操作できます。また、フォルダへの任意の権限付与や組織構造に合わせた権限管理が可能です。
参考:https://www.synnex.co.jp/solution/otegaru/co-work/
まとめ
急速に広がるリモートワークなど働き方の多様化により、どこからでも情報にアクセス・共有できることが求められています。そうした中では、クラウドストレージが便利であることは間違いありません。サービス事業者は万全のセキュリティ対策を施していますが、使用するユーザーの設定次第では個人情報や社外秘情報などの重要データの流出が簡単に発生してしまいます。各企業の管理者には、利用者の利便性を損なわないようにセキュリティリスクへの対応を行い、クラウドサービスの特長を十分に発揮できるよう環境を整備することが求められます。
[筆者プロフィール]
おじかの しげ
https://twitter.com/shige_it_coach
東京近郊の中堅SIerに20年勤務する、インフラ系システムエンジニア。インフラ環境構築からOS、ミドル導入、構築、運用。最近はインフラ関係だけではなく、WEBアプリ開発など幅広く業務を経験。
