https://service.shiftinc.jp/column/4612/

クラウドサービス提供事業者が行うべき情報セキュリティ対策として以下があります。


　　・データセンター物理的な情報セキュリティ対策（災害対策・侵入対策など）

　　・データのバックアップ

　　・ハードウェア機器の障害対策

　　・仮想サーバーなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策

　　・不正アクセスの防止

　　・アクセスログの管理

　　・通信の暗号化の有無


クラウドサービス利用者は、上記のセキュリティ対策を行っているサービス提供事業者を選ぶようにしましょう。


※上記のセキュリティ対策についての項目は、総務省が「国民のための情報セキュリティ サイト」で示しているものになります。

引用先：https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/15.html

・「アクセス制御」自宅や私物端末からのアクセスを禁止する

セキュリティ対策が施されていない端末からアクセスしてほしくないといったニーズから、アクセス制御できる機能を利用しましょう。

企業のインターネットゲートウェイなどを指定したIPアドレスからのみクラウドサービスへのアクセスを許可することで、対応可能です。

「会社指定のPCからのみクラウドサービスにアクセスさせたい」といった運用が簡単に実現できます。

https://www.cybernet.co.jp/itsolution/solution/cloud.html

・ID・パスワードの管理とユーザ認証

不正アクセスで多いのが、利用者側のヒューマンエラーによるパスワードの漏洩です。

ヒューマンエラーの具体例としては、推測されやすいパスワードの使用や、マルウェアのインストール、アップデートしていない端末の使用、パスワードの使い回しなどがあります。

不正アクセスやなりすましによるデータの閲覧や改ざん、情報漏洩のリスクを避けるために、アクセスするユーザに対して権限設定を行うことが重要です。


強固なユーザ認証として、ワンタイムパスワードやSSLクライアント認証が有効です。

また、類似されやすいパスワードの禁止、定期的に変更させるように設定するのがオススメです。

・ユーザーアカウントの登録や抹消の端末管理

退職者のアカウント抹消し忘れによるセキュリティリスクも懸念されるため、適切なアカウント管理が必要です。

・SSLサーバ証明書/やAAHにより通信データを暗号化

クラウドでは、データがクラウド提供事業者のデータセンターに保管されます。

その際にインターネット経由なので、通信経路上で盗聴や改ざんのリスクが伴います。

公開情報でない限り、必ず通信データをSSLによって暗号化する必要があります。

また、イントラネット環境であっても、SSLサーバ証明書やSSHを用いることで、組織内部の盗聴によるリスクを回避できます。

・OS・アプリケーションのセキュリティ対策

アプリケーションやOSの脆弱性を狙った攻撃による情報漏洩や改ざんが発生するおそれがあるため、リリースするアプリケーションに対してコードレビューや脆弱性診断を実施することが大切です。

・データの保管場所を把握して対策を行う

クラウド事業者のデータセンター設置場所を確認しておきましょう。

データ自体に暗号化を行う、秘密分散などの技術を採用するなどの対策を行いましょう。

また、何かしらのトラブルがあった時のためにデータが消失してしまうおそれがあるため、データのバックアップを定期的に取得しましょう。

クラウドの弱点はセキュリティ要素だったのは過去の話になりつつあります。


オンプレミスもクラウドもセキュリティレベルは以前より高まっており、データ消失や情報漏洩といったリスクは格段に低くなっています。

今は多くの企業からデータが集まるクラウドサービスでは、高度な技術をもった専門家や頑丈な設備が用意されており、顧客の重要なデータを守るためにセキュリティ面に力を入れています。

双方にセキュリティの優劣はない状況です。

「SASE」（Secure Access Service Edge、サシー）
＝（ネットワーク機能＋セキュリティ機能）on クラウド


SASEとは、ネットワーク機能とネットワークセキュリティの機能を統合的に提供するモデルのことです。

https://service.shiftinc.jp/column/7910/

企業での日常業務でもSaaS利用が増えています。

クラウド時代で、企業ネットワークの「内」と「外」をわけて防御するセキュリティ設定は通用しなくなってきています。

これからはクラウド上にネットワークとセキュリティを管理する機能をもつSASEの役割が大きくなってきます。

SASEを経由して、データセンター内の業務システムや各種クラウドサービスへアクセスする流れが主流になってきます。


従来のネットワークでは、すべてのトラフィックがデータセンターを経由することによって帯域逼迫を招いていたのが問題でした。


SASEの機能により、ネットワークのパフォーマンス向上、セキュリティ強化、運用効率化ができるようになりました。

また、SASEでは、用途に応じて接続先を選定できる（インターネットブレイクアウト）機能が利用できます。

そのため、データセンターを経由せずにインターネットにアクセスできるようになり、快適なクラウド利用が可能となります。


セキュリティ面においても、複数のクラウドサービスに対して、統一したセキュリティポリシーに基づいた包括的な管理ができます。

それにより一元的に運用管理ができ、負荷の軽減、管理コスト低減につながります。


将来性においても、DX（デジタルトランスフォーメーション）推進、働き方改革促進によって、今後もクラウドサービスの需要が増加していくので、クラウドを前提としているSASEへの移行はメリットが多いでしょう。

https://www.sbbit.jp/article/cont1/34870

クラウド時代のセキュリティを考えるうえで「CASB」は有効な選択肢の一つです。

シャドーITとは

企業・組織側が使用許可をしていない、あるいは把握していないデバイスやクラウドサービスなどを利用して社員が業務を進めていることを指します。

シャドーITとBYODの違い

シャドーITと似た意味を持つものに「BYOD」があります。

BYODは「Bring Your One Device」の略で、企業の許可を得ている「個人のデバイス」を業務で使用することです。

シャドーITは、企業が把握していないデバイスやツールを許可なく使用することです。

両者の違いとしては、企業が個人デバイスの利用を許可しているか、また管理できる状態にあるかどうかという点で大きく異なっています。

シャドーITとサンクションITの違い

サンクションITは、企業が許可したクラウドサービスや端末を業務利用することです。

まさに、シャドーITの反対語です。本来の企業がIT環境を整えるうえで必要なことです。

すべての端末やアプリケーションを企業が把握・管理することでセキュリティリスクを抑えることができます。

セキュリティリスク

https://www.microsoft.com/ja-jp/biz/smb/column-shadow-it.aspx#:~:text=1%2D2.%20%E3%82%B7%E3%83%A3%E3%83%89%E3%83%BC%20IT%20%E3%81%A8%20BYOD%20%E3%81%AE%E9%81%95%E3%81%84,-%E3%82%B7%E3%83%A3%E3%83%89%E3%83%BC%20IT%20%E3%81%A8&text=BYOD%20%E3%81%A8%E3%81%AF%E3%80%81%E4%BC%81%E6%A5%AD%E3%81%AE,%E7%82%B9%E3%81%A7%E5%A4%A7%E3%81%8D%E3%81%8F%E7%95%B0%E3%81%AA%E3%82%8A%E3%81%BE%E3%81%99%E3%80%82

クラウドサービスのセキュリティ面については、今後も考える機会が増えそうですね。

従来の問題を解決できるような便利なサービスや機能もたくさん出てきているので、クラウドサービスの利用者側としては、情報収集しながら自分に合ったものを使用できたらと思います。