業務のデジタル化、DX化の推進、法改正対応など、時流に乗ってクラウドサービスを利用する企業が急速に増えています。その一方で、クラウドサービスのセキュリティ面を懸念する声も少なくありません。今やサイバー攻撃は大都市・大手企業に限ったものではなくなっており、システムに詳しい情シス担当者がいない企業では、クラウドサービス選びの際にセキュリティ面で迷うこともあるでしょう。
そこで今回は、クラウドサービスのセキュリティについて、奉行クラウドの対応もご紹介しつつ、安全性の見極め方やサービス選定のポイントについて解説します。
目次
- 中小企業も他人事ではない!近年のサイバー攻撃の傾向
- SaaS型クラウドサービスはオンプレミスより安全か?
- 奉行クラウドが選んだ「Microsoft Azure」のセキュリティ力
- 独⾃のセキュリティ対策も万全!奉行クラウド・4つの安全対策
- SaaS型クラウドサービスのセキュリティ体制 ⾒極めポイントは「第三者評価」にあり
- クラウドサービスだけに頼らず、⾃社でも対策を!
中小企業も他人事ではない!近年のサイバー攻撃の傾向
サイバー攻撃とは、パソコンやサーバなどの情報端末に対し、ネットワークを介してシステムの破壊や情報の改ざん、窃取などをする⾏為のことをいいます。その被害件数は世界規模で増加しており、種類や⼿⼝も多様化・巧妙化しています。
近年は従来の脆弱性につけ込む攻撃⽅法に加え、ピンポイントで特定の企業、団体、個⼈をターゲットにする標的型メール攻撃、ランサムウェアによる攻撃※1などが増加しています。中でも、ランサムウェアは世界規模で猛威を振るっています。国内での、警察庁の発表では被害件数が毎年増加傾向にあり、2022年は上半期だけで100件を超えたことから強い注意喚起がなされています。
出典:警察庁広報資料 PDF「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」
2023年1⽉25⽇に情報処理推進機構「IPA」が発表した「情報セキュリティ10⼤脅威 2023」でも、2022年に社会的に影響が大きかったセキュリティ脅威のトップはランサムウェアによる被害(過去3年連続1位)となっており、特にランサムウェア、サプライチェーンを悪⽤した攻撃、標的型攻撃による機密情報の窃取などへの警告が⾏われています。
出典:情報処理推進機構 PDF「情報セキュリティ10⼤脅威 2023」
被害を受けた団体は一部の業種・業態に留まっておらず、今や「世界中の全組織が対象になっている」と言っても過言ではありません。海外では、ある病院でランサムウェア攻撃が原因で緊急治療室が使えなくなり、重症を負った⼥性が死亡するという事件にまで発展しています。日本でも、⼤⼿ゲーム会社や医療機関などのランサムウェア被害が大きく報道され、中には復旧費用に2億円以上かかったという医療機関もあります。
サイバー攻撃を受けると、事業が停止することにより大きなビジネス損失を受けるだけでなく、企業としての信頼も失うことになります。中⼩企業だからといって攻撃対象にならない保証はないことを肝に銘じ、企業規模、業種を問わず、セキュリティ対策をしておくことが大切です。
※1:「ランサムウェア」と呼ばれるコンピュータウイルスにデバイスやサーバを感染させ、データを暗号化することでファイルを利⽤不可能な状態にした上で、そのファイルを元に戻すことと引き換えに⾦銭を要求する犯罪。重要情報を摂取されることもある。
SaaS型クラウドサービスはオンプレミスより安全か?
では、昨今普及が進むクラウドサービスは、セキュリティ⾯で「安全」と⾔えるのでしょうか。
オンプレミスシステムやパソコン等にインストールしたソフトウェアを使う場合、セキュリティ対策については、利⽤者⾃⾝が行わなければなりません。セキュリティ対策用にイチから設備などを新設すると、コストも高額になりやすく、中小企業にとっては負担になることもあるでしょう。
特に、アプリケーションを提供するSaaS型クラウドサービスは、多くの利用者が利用するため⾮常に高いセキュリティ対策が施されています。そのため、サービスの提供範囲でデータ喪失や外部流出が起こる可能性は低く、安全性・安定性は極めて高いと言えます。
むしろ、事件に発展するようなサイバー攻撃や情報漏洩が起こりやすいのは、オンプレミス環境に多いことがわかっています。
昨今は、メールやインターネット利用を制限している企業はほとんどなく、サイバー攻撃を受けるのは大半がパソコンなど業務で利用している端末であり、1台でも感染すれば通信制限のない社内ネットワークでつながっている端末やサーバが次々と感染の危険に晒されます。
デジタル化・DX化が進む現代、IT化される業務範囲の拡⼤に伴って、業務情報や個⼈情報などを含むデジタルデータが蓄積されています。これらは、全て企業が守るべき重要な「デジタル資産」です。個⼈端末のランサムウェア感染はほぼ防げない状況にあり、デジタル資産を守るにはシステムだけでなくセキュリティ知見を備えた⼈材も必要不可欠といわれています。しかし、中小企業でそうしたリスクへの⾃社対応を徹底するのは限界があります。
SaaS型クラウドサービスは、一般的に社内ネットワークとは直接接続されないため、社内端末から感染を広げるランサムウェアなどマルウェアの影響を受けません。セキュリティリスクへの対策も、提供するサービスの中に含まれており、言い換えれば「デジタル資産の運⽤管理のアウトソーシング・サービス」とも言えるのです。
奉行クラウドが選んだ「Microsoft Azure」のセキュリティ力
SaaS型クラウドサービスのセキュリティ体制は、サービス提供会社によって異なります。
多くのサービスは、Microsoft AzureやAWS(Amazon Web Services)、GCP(Google Cloud Platform)といったプラットフォームとソフトウェアの利⽤契約がセットになって提供されていますが、クラウド環境の階層ごとに異なるテクノロジーを採用している場合、強固なセキュリティを維持するためには、階層ごとに継続して高い技術と対応力が求められます。そのため、利用するサービスのセキュリティ体制がどうなっているか、利用者側でもしっかり見極めることが肝要です。
奉行クラウドの場合は、Microsoft社が提供する「Microsoft Azure」をプラットフォームとして、業務サービスである奉行クラウド、奉行クラウドEdgeを提供しており、構造は⾄ってシンプルです。
奉行クラウドがMicrosoft Azureを選んだ理由の1つには、Microsoft Azureに「ものづくりをするためのプラットフォーム 」として強固なセキュリティ体制が構築されていることが挙げられます。
Microsoftのデータセンターでは、世界最⾼⽔準と名高い様々なセキュリティ体制が敷かれており、セキュリティ関連の研究開発に年間10億⽶ドルを超える額を投資して、3,500⼈超のサイバーセキュリティ・エキスパートが網羅的に監視・保護しています。2021年には、今後5年間で200億ドルをセキュリティ対策に投資すると発表しており、より脅威となっていくサイバー攻撃に対して積極的に対策を進めています。
また、Microsoft Azureは、⾃動的にデータを3重化してバックアップするため、データセンター内で何らかの障害が発生した場合でも、他のサーバにデータを保持し、データ損失が起こらないようにしています。
ISO27001やFedRAMPなどの国際的コンプライアンス標準にも適合するよう作られているため、セキュリティ品質は標準レベルで担保されています。このような点から、Azureのセキュリティ対策は多くの企業や組織に信頼され、さまざまな業界で利⽤されているのです。
さらに、奉行クラウドはお客様が取り扱う情報の重要性を鑑み、国内法の管理下でデータが守られるようMicrosoft Azureの国内データセンターに限定して提携しています。この国内に限定した管理体制とMicrosoft Azureの自動3重化バックアップより、災害の多い⽇本国内においても「万全のBCP対策」としてアプリケーションを提供することができています。
このように、「安⼼・安全に業務を遂⾏できる環境」にこだわって、Microsoft Azureをプラットフォームに採用しているのです。
独⾃のセキュリティ対策も万全!奉行クラウド・4つの安全対策
奉行クラウドでは、セキュリティ体制の強固なMicrosoft Azureに頼るだけでなく、次のような独⾃のセキュリティ対策も構築し、万全の体制を整備しています。
●暗号化によって強固にデータを保護します
奉行クラウドでは、利⽤者のデータをすべて暗号化し、他の利⽤者のデータと隔離された状態で安全に保管します。また、奉行クラウドへの通信やデータセンター間の通信など、あらゆる通信はSSLで保護しています。これにより、データを外部から盗み見られることなく安全に保護することができます。
●24時間365⽇運⽤監視しています
奉行クラウドでは、サイバー対策としてWAF(Web Application Firewall)を設置しています。
WAFは、サイバー攻撃、特にWebアプリケーションの脆弱性を悪⽤した攻撃からWebサイトを保護するもので、なりすましによる不正アクセスやデータの不法抽出などを目論む外部からの侵入・攻撃を防ぎます。
昨今は、ソフトウェアの脆弱性※が問題となることが多いですが、奉行クラウドでは脆弱性問題が起こらないように定期的にテストを実施し、安全性を保っています。
※脆弱性(ぜいじゃくせい)は「セキュリティホール」とも⾔われ、OSやソフトウェアでプログラムの不具合や設計上のミスが原因となって発⽣した情報セキュリティ上の⽋陥のことを指します。
●OBC独自のIDで統⼀管理しています
奉行クラウドは、アクセスに利用するIDを完全統合管理しています。パスワードの最⼩⽂字数・有効期限の設定など、独⾃に設定できる“OBCiD”を採⽤し、認証の安全性・セキュリティの堅牢性を強化しています。また、1つのパスワードで複数の奉行クラウド製品・他システムにログインでき、利便性には配慮しています。
また、奉行クラウドはアプリケーション形式となっているため、ログイン画⾯に⼊⼒した情報はどこにも残らず、IDやパスワードを盗まれる⼼配もありません。(奉行クラウドEdgeはWebアプリケーションのため、Webブラウザのセキュリティに依存します)
●東⻄データセンターを使ってBCP対策も万全です
奉行クラウドは、Microsoft Azureの国内東⻄データセンターのみを利用し、厳重に管理・運用しています。 (前章参照) Azureが自動的に3重化して保存し、リアルタイムでバックアップも取っているため、一カ所のデータセンターが稼働停⽌した場合でも、もう一カ所のデータセンターで数ヶ月分のデータベースが⾃動的に保存されており、素早くシステム復旧できる仕組みを用意しています。これにより、災害が発⽣した場合でも「止まらないクラウド環境」を提供できます。
※データセンターでのバックアップは、利⽤者である1企業のバックアップを保証するものではなく、あくまで奉行クラウドのサービス提供におけるシステム復旧に関するバックアップです。
SaaS型クラウドサービスのセキュリティ体制
⾒極めポイントは「第三者評価」にあり
クラウドサービスの選定時は、機能⾯のシステム要件が優先されますが、最終的な絞り込みではセキュリティ体制もしっかり確認する必要があります。しかし、セキュリティへの対応はクラウドサービスによって異なり、システムやセキュリティに精通していなければ「どのサービスのセキュリティが優れているか比較しづらい」と迷うこともあるでしょう。
クラウドサービスのセキュリティ体制を⾒極めるには、ベンダーがどのように対応しているか、具体的な対策内容とともに、「第三者評価」を受けているかを確認することが大切です。
業務系SaaS型クラウドサービスにおける「第三者評価」としては、SOC(System and Organization Controls)による評価報告書を用いるのが一般的です。
SOC報告書は、⽶国公認会計⼠協会(AICPA)、国際監査・保証基準審議会(IAASB)または⽇本公認会計⼠協会(JICPA)などの第三者機関が定める基準に従って監査・検証し、内部統制の有効性を保障する旨が示されています。
また、日本独自のISMAP(Information system Security Management and Assessment Program)という政府情報システムのためのセキュリティ評価制度は、SOCよりも評価基準が厳しいため、ISMAPに登録されているクラウドサービスは「政府が求めるセキュリティ要件を満たし、安全性が高い」として、政府機関だけでなく民間企業でもクラウドサービスを導入する際の指標に活用できます。
例えば、奉行クラウドを提供するOBCでは、第三者機関による監査チェックを毎年受けており、奉行クラウド・奉行クラウドEdge・OBCクラウドサービスで「SOC1. Type2報告書(内部統制評価)」「SOC2. Type2報告書(情報セキュリティ評価)」を取得※しています。ISMAPについても、2024年度中の取得を目指しています。
また、サイバーセキュリティ対策専門組織(OBC-SIRT)や、奉⾏サービスのセキュリティレベル向上対策専門組織(PSIRT)を設置して、奉行クラウドを安心してご利用いただくための体制を構築しています。
※奉行クラウド利用ユーザー様で希望される場合は、SOC報告書をご提供しています。
クラウドサービスだけに頼らず、⾃社でも対策を!
サイバー攻撃による被害が⾝近になってきた現代、ベンダーではあらゆる⾓度からセキュリティ対策を施してクラウドサービスを提供しています。とはいえ、クラウドサービスに預ける情報は、売上データや従業員の個⼈情報など機密性の高い情報です。いくら利便性・安全性が良いからといって、クラウドサービスだけに頼り切るのも危険です。
例えば、クラウドサービスの中にはWebアプリケーション仕様のものも多く、この場合のIDやパスワード管理は使用するWebブラウザのセキュリティ機能にほぼ依存しています。サイバー攻撃による被害事例のほとんどは、社内の個⼈端末が感染したことで起きていることを見ても、端末を感染させないために社内教育や啓蒙をしていくことは必要不可⽋です。
奉行クラウドを数万社に提供しているOBCでは、毎年全社員に対してセキュリティ教育を行い、従業員のセキュリティ意識を高めています。いつサイバー攻撃を受けるか分からない時代だからこそ、万全のセキュリティ体制を整えたクラウドサービスを利用するとともに、従業員の意識付けなど⾃社内のセキュリティ対策も強化するよう心がけましょう!
関連リンク
こちらの記事もおすすめ
OBC 360のメルマガ登録はこちらから!