クラウドのセキュリティは脆弱か？！リスクや国際基準のまとめ

社内でクラウドサービスを利用したいと思っても、「セキュリティの問題はどうするのか？」という万能パワーワードによって撃沈されてしまいます。

そこでセキュリティについてしっかり理解して、何が問題なのか？をアンチクラウド派に説明出来る様になっておかないといけません。そういう私もよく分かっていないので、この際しっかり学習しておこうと思います。

何を恐るべきかを学習して知っておく

情報セキュリティの問題で何か問題となりうるのかをまずは把握しておく必要があります。

大抵の企業では既に情報セキュリティポリシーが決まっており、そこに記載されているはずです。

セキュリティの問題で知っておく必要があることとして、①リスクは何か？②その対応は？③国際的な基準は？の3点は抑えておく必要があると思います。この記事では、その3点について学習した内容を記載しています。

考慮すべきリスクとは？

上司からどんなリスクがあるのか？と問われたときにすぐに答えられるようにリスク6つについてはしっかり把握しておきましょう。脅威になりやすい順に記載します。

不正アクセス、不正ログイン
ネットワークやシステムの障害
自社従業員の情報セキュリティポリシー違反
サプライチェーンや外部委託先での情報セキュリティマネジメントの喪失
システムの障害によるデータ消失
テロ対策等の国際的法的処置によるシャットダウン

リスクに対する対策は？

リスク１：不正アクセス・不正ログイン

不正アクセス・不正ログインの原因は、「手当たり次第に入力値を変えてパスワードを突破する」「自社のデーターベースに入るための、個人（法人）IDとパスワードを盗み取られる」の2つが主な原因です。企業内の情報は資源であり、その情報を盗み出して、悪用するリスクはオンプレミス環境とクラウド環境では全く状況が異なります。

前者の「手当たり次第に入力値を変えてパスワードを突破する手法」は、ブルートフォースアタック（総当たり攻撃）と呼ばれ、時間を掛ければ8桁程度のパスワードであれば簡単に突破されてしまいます。（推奨10桁）この攻撃はパソコン使用者のIPアドレス等の整合性確認をする機能を付加することで防ぐことができますが、一度IDが漏れると常に攻撃にさらされてしまうリスクがあるため一番厄介な攻撃です。また、過度に総当たり攻撃を仕掛けてサーバーダウンを行う攻撃もあるため、IDとパスワードの連続誤記入力によるロック機能がパスワードだけでなく、ID側にもつけておいた方がよいといえます。

又、後者の「IDとパスワードを盗む手法」としては様々あるため、1つずつ解説します。

①ウイルス感染による拡散

不正にパソコン内に侵入したウイルスが、必要なIDとパスワードの入力記録を流出させ、その情報で不正アクセスを行う手法。

防止策：アンチウイルスソフトの導入と信頼性の低いソフトのインストール制限を行い、クラウドにアクセス可能な全パソコンへの侵入を防止する。定期的なパスワードの変更を行い、スリープ状態の漏洩したID/パスワードデータの切り離しを行う。

②パスワードリスト攻撃

パスワードを個人で使いまわしているユーザは80％以上とされており、その使いまわしているパスワードを入手されると他のサービスにも、不正アクセスされてしまいます。パスワードリスト攻撃はこの使いまわしたパスワード（SNS等を利用し）を入手して、そのユーザが使用しているサービス全体に不正アクセスを仕掛けてきます。

対策としては、不正アクセスされない様に、同じパスワードの使いまわしを避けることで防止効果があります。また、SNS等で使用しているパスワードは非常に狙われやすいので、決してクラウドサービスのパスワードと同じにしない様に注意が必要です。

※SNSでは個人IDが公開されているケースが多く、上で説明した「ブルートフォースアタック」で簡単にパスワードを盗まれてしまいますので特に注意が必要です。

③フィッシング

銀行口座のWEBログイン画面などの偽WEBサイトにアクセスさせて、必要な個人情報を入力させて盗む手法。

個人情報や、ID・パスワードを入力する画面が公式ページなのか必ず使用者が確認する教育が必要です。不正な広告などのリンクを使わず、必ず公式ページからアクセスするなどの対応も必要です。

④通信の盗聴

その名の通り通信の盗聴による情報漏洩。これはオンプレミス環境では気にする必要がないケースがほとんどですが、クラウド上であれば、特に気を付けなければいけない攻撃です。

意識づけするために、分かりやすく説明すると「オンプレミス環境」は一軒家、「クラウド環境」はマンション集合住宅と考えてください。

一軒家であれば、その家の中での会話は、よほどのことがない限り近所に伝わることがありません。しかし、集合住宅であれば、その家の会話はその上下左右の別の部屋にもれている可能性が高くなります。しかも仮に盗聴されていたとしても、一軒家ではすぐに探し出せますが、集合住宅では周囲の部屋全部を調べる必要があり、困難です。

その為、この盗聴の一番の対策法は、家の中の会話をすべて暗号化することです。

現在主に使用され有効であるとされている暗号化通信は「SSL暗号化通信」とよばれ、サーバー側とクライアント側の双方で解読用の鍵（2つの鍵「共通鍵暗号方式」「公開鍵暗号方式」）を暗号化し、そのカギがなければ解読できないようにする対策です。

クラウドサービスを利用する企業は必ずこの対策が必要ですね。

リスク２：ネットワークやシステムの障害が起きたら？

ネットワーク上にあるサーバーを利用する為、システム障害が発生しないわけがありません。そのため、万が一の障害が発生した際に、制御不能になっては困る「製造・運転オペレーション」「監視制御装置」などの重大な事故につながる障害は、企業側で即時「マニュアル操作・監視」に切り替えるシステムを事前に組み込んでおく必要があります。（※個人的には、重大な事故につながるような制御をクラウド上で行うのはまだ早いように思いますが、、、）

システム障害が生じたときに業務がストップしない様に、バックアップ（データ避難場所）を社内のオンプレミス環境で整えておく必要があります。また、システム障害時に不正アクセスされるケースもあるため、機密情報は、クラウド上で暗号化して保管しておく必要があります。

リスク３：自社従業員の情報セキュリティポリシー違反

すでにほとんどの人がクラウドのストレージサービスを利用している昨今では、社内教育だけでは情報セキュリティーポリシーを理解することは無理かもしれません。圧倒的に便利なので使いたくなってしまう従業員はいるはずです。そのため、そういったサービスに対してアクセス制限をかけることが一般的ですが、ストレージサービスを全面的にNGにすることは今の時代に合っていないと思います。企業で認めたクラウドストレージサービスに限定して使用を許可することが必要ですね。

リスク４：サプライチェーンや外部委託先での情報セキュリティマネジメントの喪失

これからクラウド環境下のビジネスが一般化されると、今以上に多くの社外の関係者が、クラウド上の自社データベースにアクセスできるようになってきます。そうなると自社の管理・教育が行き届かない他社での漏洩によるトラブルが危惧されるようになります。ただ、そのようなケースにならない様に従来から2社間で「秘密保持契約書」と呼ばれる書面でのやり取りが頻繁に行われている文化があるので、そこまで問題にならない様に感じています。

リスク５：システムの障害によるデータ消失

クラウド上のシステム障害によるデータ消失は、過去たびたび起きているようです。原因はヒューマンエラーやシステム更新時のエラーなど様々ですが、一度消えたデータは復活できません。この対策としては、バックアップ（データ避難場所）を社内のオンプレミス環境で整えておく以外にはなさそうです。

リスク６：テロ対策等の国際的法的処置によるシャットダウンや差し押さえ

あまり知られていませんが、サービス提供国の法令に基づきサーバーシャットダウンなどの強制があるかもしれないことを知っておく必要があります。Amazon社のAWSやマイクロソフト社のWindows Azureでは、どの国にあるサーバーもパトリオット法※の適用を受け、有事の際は一方的に機能停止になるかもしれません。

これもシステムの障害と同様にバックアップ（データ避難場所）を社内のオンプレミス環境で整えておく以外にはなさそうです。

※パトリオット法：米国内外のテロリズムと戦うことを目的とした米国の法律

国際的な基準は何かあるの？

「セキュリティの問題はどうするのか？」という万能パワーワードに対抗するために、この国際基準について詳しく知っておく必要があります。

情報セキュリティマネジメントシステム（ISMS）とは？

日本には2002年より情報セキュリティ強化を目的として、情報セキュリティマネジメントシステム（ISMS:Information Security Management System）の適合性評価制度（認証制度）があり、以下の国際基準に適合しているかを第3者認証機関（ISMS機関からの認定を受けた機関）が評価し、認証する制度です。認証された企業はその認証文章で自社のセキュリティの信頼性を証明する公的文章として活用ができるようになります。

クラウドを利用する側の我々としては、この認証を掲げている企業のサービスであるかを確認することが大切です。