生産性の向上 今さらきけない「クラウド」とは?
クラウドの概要
近年、リモートワークが世間にも広く認知され、企業のITインフラとして「クラウド」の活用が急速に進んでいます。総務省が実施する、「令和5年通信利用動向調査」内「8.企業におけるクラウドサービスの利用状況」によると、2022年時点における日本国内の企業のクラウド利用率は約72.2%を記録しています。
クラウドとは、インターネットを介してネットワーク、サーバー、ストレージ、アプリケーション、サービスなどを利用できる仕組みを指します。通常、企業や個人がパソコンやスマートフォンで使うデータは、その端末自体や、会社のサーバーに保存されます。一方、クラウドを利用すると、データやソフトウェアをインターネット上にある「クラウドサーバー」に保存し、いつでも・どこでもアクセスができるようになります。その結果として、パソコンが破損した際でも、復旧が楽になり、オフィスを離れての作業も可能となります。
クラウドとオンプレミスの違い
クラウドと比較されるのが「オンプレミス」というシステムです。これは、企業が自社内にサーバーやネットワーク機器を設置し、独自に管理・運用する方式で、長年にわたり事業を継続してきた企業はオンプレミスの仕組みを構築している傾向が強いです。
初期コストや保守・運用負担が少なく、利用分量に応じて課金されるなど柔軟に利用できるのがクラウドの強みとなっているため、これから事業をはじめる新規企業はクラウドの仕組みを最初から利用し始めることが多くなっています。最近では、デジタル化の加速を見据えて、オンプレミスからクラウドへの移行に挑戦している事業者も増えています。
クラウドのセキュリティリスクと対策
クラウドは利便性が高く、多くの企業が導入を進めていますが、セキュリティリスクを正しく理解し、適切な対策を講じることが重要です。
クラウドの主なセキュリティリスク
1.データ漏洩・情報流出
クラウド環境では、データがインターネットを介してやり取りされるため、メール誤送信やURLを誤って外部に共有することで情報漏洩のリスクがあります。
2.アカウントの乗っ取り(不正アクセス)
ID・パスワードの管理が不十分だと、攻撃者にアカウントを乗っ取られ、機密データが流出する可能性があります。特に、パスワードの使い回しや脆弱な認証方法は危険です。
3.マルウェア・ランサムウェアの感染
マルウェアとは、ウイルスなどユーザーの機器に不利益をもたらす悪意のあるプログラムやソフトウェアの総称です。ランサムウェアはその一種で、ファイルを利用不可能な状態にし、そのファイルを元に戻すことに身代金を要求するものです。クラウド上に保存されているファイルがウイルスに感染すると、データが破壊・暗号化され、復旧が困難になることがあります。
また、悪意のあるメール(フィッシングメール)を開封し、アカウントが乗っ取られることにも注意が必要です。
4.内部不正・設定ミス
クラウドの設定ミス(例:アクセス制限の設定不足)が原因で、意図せずにデータが外部に公開されてしまうケースもあります。
例えば、クラウドストレージ(Google Drive、Dropbox、OneDrive など)を利用した際に、誤った設定で外部にデータが公開されたり、退職した社員のアカウントが放置され不正利用されるケース、アクセス制御が適切でなく、不要な従業員が機密データにアクセスできる状態になるなどです。
クラウドのセキュリティ対策
1.多要素認証の導入
ID・パスワードだけでなく、ワンタイムパスワードや生体認証を併用することで、不正アクセスのリスクを軽減できます。
2.ゼロトラストセキュリティの採用
「すべてのアクセスを信用しない」前提で、アクセス制限を強化し、定期的に認証を求めることで、内部・外部の脅威からシステムを守ります。
3.クラウドの適切な設定
権限設定を外部人材が自由に見ることができる「誰でもアクセス可能」の設定にしない。また、会社のポリシーとして、アクセス許可をする際は、上長の承認制にする、外部とデータ共有は最小限にする、定期的に見直すなど徹底した体制づくりに努めます。
4.マルウェア・ランサムウェア対策
不審なメールやファイルを開かないように周知徹底します。
5.定期的なバックアップと復旧計画(BCP)の策定
クラウド上のデータを定期的にバックアップし、万が一の障害やサイバー攻撃に備えます。
6.従業員教育とセキュリティ意識向上
システムがどれだけ強固でも、人的ミスによる情報漏洩は防ぎきれないため、定期的なセキュリティ研修を実施し、安全性の啓蒙を実施します。また、クラウドサービス利用に関するルールを明確にすることも必要です。
クラウドサービス提供側の安全性
社内での対策に言及しましたが、サービスを選定する際の情報も頭に入れておく必要があります。クラウドサービスを提供する大手企業では、近年の利用増加に伴い、最新の脅威に対してセキュリティを常に更新しています。
- 第三者機関の最新のセキュリティ認定も受けている。( ISO/IEC 認証など)
- 世界中にデータセンターを設置し、システム障害や大規模災害時のリスク分散が可能。
- 高度スキルを有する専門家チームが24時間365日、データセンターの管理をしている。
もちろん100%安全とは言うことはできません。
しかし、一般社団法人日本情報経済社会推進協会が実施した「2023年度個人情報の取扱いにおける事故報告集計結果」内、原因別の事故報告件数を見ると、作業・操作ミスや確認不足など担当者のミスが非常に多くなっており、オンプレミスやアナログ管理でも人的ミスのリスクはあると言えます。
クラウドサービスで安全性を十分考慮される際は、セキュリティ認定の所持やセキュリティに対する取り組みを確認し、IDやパスワードの保存、定期的なバックアップをとるなど基本的な対策を徹底しましょう。
最後に
人手不足が明確な中、リモートワークの普及やDX(デジタルトランスフォーメーション)などデジタル技術を活用した企業経営は今後も加速し続けるでしょう。
中でも、クラウドサービスの導入は急速に進んでいます。導入にあたっては、メリットと同時にリスクも把握した上でご検討ください。