「クラウドはセキュリティが不安」は誤解?知っておきたい重要な対策まとめ
最近では、さまざまなウェブサービスがクラウド上で提供されるようになっています。
クライアントにインストールすることなく利用でき、いろいろなサービスと連携することの可能なクラウドサービスは非常に便利なものですが、一方でセキュリティ上の問題が指摘されることが多いのも特徴です。
そこで誰もが思う「クラウドサービスのセキュリティは安全なのか」ということについて、できるだけ詳しく検討してみたいと思います。
目次を閉じる
ボクシルおすすめWAF 【Sponsored】
| BLUE Sphere |
|---|
 |
| 無料トライアル:◯ フリープラン:✕ 利用料金:45,000円~ |
| ・セキュリティ対策に加えて、サイバーセキュリティ保険も付帯 ・あらゆるぜい弱性や攻撃にも対応する機能を搭載 ・専門家による個別チューニングで高性能なWAF |
クラウドサービスのセキュリティとは
そもそも、クラウドサービスにおけるセキュリティ対策とは具体的に何をすることを指すのでしょうか?
クラウド環境におけるもっとも重要なセキュリティ対策としては情報漏えい対策が挙げられるでしょう。
マルウェア対策やサーバーへの攻撃などへの対策という答えも考えられますが、こういった外部からの攻撃で最も脅威なのは、それによって重要な情報が外部に流出してしまったり、貴重なデータを失ってしまったりすることです。
クラッキングなどによって業務に支障が出てしまうのも脅威ですが、企業において顧客情報が外部に漏れることは、被害範囲が非常に大きく信用問題に関わるため、何としても防がなければなりません。
クラウドサービスにおけるセキュリティを考える場合、まず重要視されるのはデータの喪失や情報漏えい対策なのが現状です。
クラウドサービスのセキュリティは安全か
それでは、情報漏えい対策という観点からクラウドサービスの安全性を考えてみましょう。
これまで便利なクラウドサービスを積極的に利用する層がいる一方で、導入を躊躇する人々がいるのも事実です。
クラウドサービスの導入をためらう理由は
クラウドサービスには、DropboxやGoogleDriveなどユーザーの画像や文書データなどをクラウド上に保存できるストレージサービスや、リアルタイムでデータの共有や反映ができる会計ソフトといった情報共有の利便性を追求したものなど、多種多様なサービスが提供されています。
このようにクラウドサービスのメリットといえば、他のユーザーとさまざまな媒体で簡単に情報のやり取りや共有ができる点にあるといえるでしょう。
この特性をビジネスに生かすことで大きな利益を上げている企業は数え切れないほどあります。
その一方で、そういった便利なクラウドサービスの導入をためらう人もいます。
もっとも大きな理由がセキュリティ面への不安視であり、上述のサイバー攻撃などによる情報漏えいや貴重なデータの消失です。事実、多くの企業がセキュリティ面への不安から便利なクラウドサースの導入を見送ってきた経緯があります。
オンプレミスとクラウドではどちらが安全か
しかし近年では、クラウドサービスの提供会社は特にセキュリティ面に力を入れているため、不安視されているようなデータの喪失や外部への流出といった可能性は非常に低く、安全性や安定性が高くなっているのが現状です。
むしろオンプレミス環境での情報漏えい事件の方が、最近では大きな問題として取り沙汰されるケースが増えています。
クラウドサービスの提供会社にとって情報漏えい事件は死活問題となりますから、どの企業も非常に高いセキュリティ意識をもっており、提供されるサービスもそれだけ安全なものになっているのです。
そういったサービスを利用する側としても、ある程度の対策さえ万全にできれば、自社でデータセンターなどを運用するよりも、安全かつ安定した環境を整えることが可能です。
それでは、クラウドサービスのユーザー側で知っておくべきセキュリティ対策とは何でしょうか?以下で重要なポイントを説明していきます。
管理側のセキュリティ対策はどうするべき?
たとえクラウドサービスのセキュリティが強固になってきたとはいえ、それを利用する側の企業や組織にとっては、たった一人のスタッフの不注意がマルウェアへの感染や情報漏えいのような脅威につながってしまう可能性もあります。
企業のシステム管理者をはじめ、一人ひとりのスタッフが情報セキュリティ対策の重要性を理解して、各種クラウドサービスを利用することが求められます。
企業のシステム管理者が重要視すべき対策としては、以下のものが考えられます。
標的型攻撃への対策
標的型攻撃(メール)とは、不特定多数が対象となるスパムメールとは違い、主にターゲットとする企業や組織から重要情報を盗み出すことを目的として送られるウイルスつきのメールのことを指します。
近年は政府機関や大手企業だけでなく、地方自治体や中小企業であっても狙われるケースが増えています。
たった一人のスタッフがそういった標的型攻撃メールに添付されたファイルを開いてしまったり、メール内にあるリンクをクリックしたりしただけでウイルスに感染してしまい、そのまま企業の重要情報が漏えいしてしまうケースもあります。
管理者の対策としては、まず標的型攻撃メールとはどういうものか、その手口について組織内のスタッフに周知する必要があるでしょう。
迂闊に怪しいメールや不自然なメールの添付ファイルを開かないように注意喚起したり、リンク先の安全を確認できるツールを利用するなどして安全性を確かめるように促していくことが考えられます。
標的型攻撃メールへの具体的な対処法は以下の記事で詳しく解説しています。
DDoS攻撃への対策
DDoS攻撃はサイバー攻撃の常套手段として知られており、インターネット上に公開されているサーバに対して複数のコンピュータから一斉に大容量のデータを一方的に送りつけ、ネットワークやその内部のシステムを過負荷状態に陥らせ、そのまま利用不能にしてしまう攻撃のことをいいます。
特にECサイトなどを運営している企業は、この攻撃によってサイトそのものが利用できなくなってしまう可能性があります。
さらにその間に別の攻撃によってサイト情報が改ざんされてしまったり、顧客情報が漏えいするなどの2次的な被害も出てくる危険があるのです。
対策としては、攻撃元と思われる同一IPからのアクセスを制限したり、国内サービスに特化している場合は海外からのアクセスだけを遮断するといった方法が考えられます。また、以下で紹介するWAF(Web Application Firewall)を導入する方法もあります。
ブルートフォースアタック(総当り攻撃)
ブルートフォースアタック(総当り攻撃)とは、暗号や暗証番号などを利用するうえで理論的に考えられるパターンすべてを入力して解読を試みる暗号解読の方法です。
これによってターゲットのWEBサイトやネットワークに潜り込み、情報を改ざんしたり個人情報を盗み出したりします。
たとえばターゲットにされた企業がWordPressを用いてサイトの作成・運用を行っている場合、管理者のユーザー名とパスワードを総当りで試し、ログインに成功するとそのまま情報を書き換えられたり、そのサイトからウイルスをばら撒かれたりといった被害を受ける可能性があります。
この対策としては、ユーザー名やパスワードを推測されにくいものにするといった基本的なものから、重要なファイルのパーミッションを変更するといったことが考えられます。
SQLインジェクションへの対策
WEBサイトのなかには、外部のデータベース(DB)と連携して動作するものがあります。
そういうサイトでは外部から入力された値によって連携したデータベースへの命令文(SQL文)を構成するケースが多いですが、悪意のある外部者が攻撃対象とするサイトの入力画面からSQL文を含む文字列を入力すると、管理側が意図しないSQLが生成されてしまう可能性があります。
そうなると、不正にDB内のデータが盗み取られたり改ざんされてしまうといった被害を被る危険があるのです。
これをSQLインジェクション攻撃といい、このような攻撃を許してしまうサイトをSQLインジェクションぜい弱性を持つサイトといった言い方をします。
管理側の対策としては、サーバ上のプログラムで不正な入力値による処理を防いだり、データベースアカウントの権限を最小に設定するといった方法や、定期的にサイト全体のぜい弱性検査をすることなどが挙げられます。
クロスサイトスクリプティングへの対策
クロスサイトスクリプティング(XSS)とは、いわゆる「動的Webページ」に関するぜい弱性のことであり、またそのぜい弱性を利用した攻撃法のことを指す呼称です。
動的Webページでは、ユーザーがサイトにアクセスしたタイミングで表示する内容が生成されることになりますが、その際に悪意のあるスクリプトが紛れ込み、閲覧者のユーザー環境でそれが実行されてしまうことがあります。
たとえば掲示板やECサイトで買い物をした際の入力確認画面などでは、ユーザが入力した内容がそのまま表示されることになりますが、そこに攻撃者が任意のスクリプトを仕込むことで、それがユーザー側のブラウザで実行されてしまうケースがあります。
それによって、そのままユーザIDやパスワードを含む個人情報が盗み出されてしまう可能性があるわけです。
管理者側の対策としては、サーバやWEBアプリケーションのミドルウェアを最新の状態にしたり、ぜい弱性が生まれにくいアプリケーション処理を意識するといったことが考えられます。
また、以下で紹介するようなWAF(Web Application Firewall)やXSS専用フィルタなどのセキュリティ対策ツールを導入するのも有効です。
クラウドのセキュリティ対策で注目のWAFとは
ここまで、クラウドサービスを利用する企業におけるセキュリティについて解説してきましたが、近年はクラウド環境のセキュリティ対策としてWAF(Web Application Firewall)が注目されています。
WAF(Web Application Firewall)とはWEBアプリケーションのぜい弱性を狙った一連の攻撃からサイトを守るためのセキュリティ対策であり、一般的に「ワフ」と呼ばれています。
クライアントとサーバをつなぐネットワーク間に設置することで各々の通信を解析し、悪意をもったアクセスや攻撃からサイトを保護し、不正なログインを防ぐ役割を担います。これによって、さまざまなクラウドサービスを安全に利用できるようになるわけです。
WAFがクラウドのセキュリティを解決
WAFの機能を使うことで、これまで述べてきたようなクラウドにおけるセキュリティ対策を行えます。具体的には、以下のような対策が可能となっています。
標的型攻撃への対策
WAFの導入によって、標準型攻撃による被害のリスクを軽減させられます。
たとえばメール内のリンクから不正なサイトにアクセスさせようとした場合、その通信がWAFによって検査されることになりますから、未然に攻撃を防ぐこともできます。
ただし、WAFはあくまでもWEBアプリケーションへのぜい弱性を狙った攻撃を防ぐためのものです。ウイルスなどのマルウェアに感染されたメールを開いてしまったことによる被害などには対応できないケースがほとんどですから、その辺りは注意してください。
DDoS攻撃への対策
上述のように、DDos攻撃はターゲットに大量のデータやリクエストを一方的に送りつけることでサーバを不能にしてしまうものですが、必ずしもそういった方法だけとは限りません。
サーバやアプリケーションのぜい弱性を利用することで少量のデータでリソースを枯渇させて、サーバ停止に追い込むといった攻撃法法もあります。
WAFはアプリケーションにあたる部分を守るセキュリティツールですから、このようなぜい弱性を突いたDDoS攻撃を防御可能です。
ブルートフォースアタック(総当り攻撃)
ブルートフォースアタックのような単純なファイアウォールで防げない攻撃も、WAFであれば検知可能になります。
ブルートフォースアタックもWEBアプリケーション層をターゲットとした攻撃ですから、たとえば同じIPから一定数のリクエストを受けた際に必ず認証を求めるとういう設定にしておけば、連続試行による不正ログインを防げます。
SQLインジェクションへの対策
WAFの導入により、データベースの改ざんや不正アクセスによる情報流出など、これまでのファイアウォールやIDS/IPSなどでは防ぐことのできなかったWEBアプリケーションのぜい弱性を未然に検知し、防御可能です。
クロスサイトスクリプティングへの対策
クロスサイトスクリプティングもWEBアプリケーションのぜい弱性を狙った攻撃ですから、WAFの設置によって対処できます。WEBアプリケーションのぜい弱性にプログラミングで対処しようとすると、どうしても時間がかかってしまい、その間に深刻な被害を被ってしまう可能性があります。
しかしWAFであれば、設置すればすぐにこういった攻撃からWEBサイトの安全を守れるようになります。
セキュリティ対策でクラウドの安全性を高めよう
クラウドサービスのセキュリティについて、オンプレミス環境との比較や管理者に必要とされるセキュリティ対策の解説をしてきました。
多くの企業が情報漏えい対策に頭を悩ませるとともに、便利なクラウドサービスの利用が欠かせなくなっているのが現状でしょう。クラウドサービス自体のセキュリティが堅牢であっても、使う側がセキュリティ対策を怠ってしまえば、結局さまざまなサイバー攻撃に晒される可能性が高まってしまいます。
本記事を参考に、ぜひ自社のセキュリティ対策について見直してみてください。クラウドサービスの利用が一般的になっているからこそ、自社のセキュリティ意識を高めることが重要なのです。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
