クラウドセキュリティとはどういうことでしょうか。
1990年代当時は、データのある場所を見つけるのは簡単でした。それは自宅のPCと、企業に勤めている場合はエンタープライズサーバーに限られていました。
クラウドの登場をきっかけとして、突然すべてが変わりました。データはあらゆるところにある可能性があり、それはアプリケーションにも言えることです。スマートフォンでGoogleドキュメントにアクセスしているなら、またはSalesforceソフトウェアを使用して顧客管理をしているなら、そのデータあらゆる場所に保存されている可能性があります。ですから、余計なユーザーがネットワークにアクセスできないようにするだけでよかった頃よりも、データの保護は難しくなっています。
クラウドセキュリティとはどういうことか
クラウドセキュリティとは、技術、プロトコル、ベストプラクティスを総動員して、クラウドコンピューティング環境、クラウドで実行されるアプリケーション、クラウドに保存されているデータを保護することです。現在は大企業の90%でクラウドコンピューティングが使用されているため、クラウドセキュリティは企業のサイバーセキュリティの極めて重要な部分となっています。
クラウドコンピューティングのセキュリティリスクは、必ずしも本人は気付いていないかもしれませんが、個人消費者にも影響を及ぼします。消費者は、ファイルの保存とバックアップ(Dropboxなどのサービスを利用)、メールやオフィスアプリケーションなどのサービス、納税申告書やアカウントの作成にクラウドを利用している可能性があります。
大きな組織は、独自のオフィスビルやキャンパスを所有することに等しいインターネット、プライベートクラウドにこだわり続けることができますが、個人や小規模企業はパブリッククラウドサービスを利用しなければなりません。これはオフィスをシェアしたり、他の何百ものテナントと一緒にアパートに住んだりするようなものです。ですから、セキュリティを何よりも優先する必要があります。個別に暗号化するか、個別のストレージ用に論理的にセグメント化するかは別として、自分のデータと顧客データを分離する必要があります。
クラウドのセキュリティリスク
クラウドの最大の危険は、境界がないことです。従来のサイバーセキュリティは境界の保護に重点を置いていました。ところがクラウド環境は接続性が高く、つまり安全でないAPI(アプリケーションプログラミングインターフェイス)やアカウントハイジャックが大問題を引き起こす可能性があるということです。クラウドコンピューティングのセキュリティリスクに直面している今、サイバーセキュリティ専門家はデータ中心のアプローチに移行する必要があります。
相互接続性もネットワークに問題を引き起こします。漏洩した、または脆弱なログイン情報をしばしば利用してハッカーが侵入すると、クラウド上の保護の甘いインターフェイスを簡単に開いて利用し、さまざまなデータベースやノードにあるデータを見つけることができます。ハッカーは独自のクラウドサーバーを、盗んだデータのエクスポートおよび保存先として利用することさえできます。セキュリティは、クラウドデータへのアクセスを保護するために使用されるだけでなく、クラウドの「中」にも必要です。
データの保存をサードパーティに依存し、データへのアクセスをインターネット接続に依存していることに付随するリスク要因もあります。何らかの理由でこれらのサービスが中断すると、データにアクセスできなくなります。モバイルネットワークが停止するとクラウドにアクセスできない可能性があります。停電によって、データの保存先であるデータセンターが影響を受けることもあります。
このような中断の影響は長期にわたるかもしれません。最近では、Amazonのクラウドデータファシリティの停電で、サーバーがハードウェアの損傷を受け、一部の顧客のデータが失われました。これは、少なくとも一部のデータとアプリケーションのローカルバックアップが必要である理由をよく示している例と言えます。
クラウドプロバイダのセキュリティを確認する
クラウドのセキュリティリスクを念頭に置くと、クラウドプロバイダを選択するときに考慮すべき重要な点の1つがセキュリティです。サイバーセキュリティはもはや自分の仕事ではありません。クラウドプロバイダが安全なクラウド環境を構築し、データセキュリティの責任を共有する役割を果たす必要があります。
つまり、次のような質問をすることが必要となります。
- クラウドプロバイダはセキュリティの外部監査を定期的に実施しているか
- 顧客データが論理的にセグメント化され、分離されているか
- データが暗号化されているか
- どのような顧客データ保持ポリシーに従っているか
- クラウドサービスの使用を辞める場合にデータが適切に削除されるか
- アクセス権をどうやって制御しているか
また、利用規約を読む必要もあります。結局のところ、利用規約を読まないなら、望みどおりのサービスが得られなくても文句を言うことはできません。
当然、銀行が金庫室の設計図を金庫の番号とともに顧客に提供しないように、クラウド企業はネットワークのセキュリティに対する詳細な計画をユーザーに教えたりしません。ただし、上記のような質問に対してしっかりした回答を得られれば、クラウド資産が安全でプロバイダがクラウドの明らかなセキュリティリスクに適切に対処している、という確信を高められます。
ユーザーはサプライチェーン全体を把握していることを確認する必要もあります。ファイルがDropboxにあるか、iCloud(Appleのストレージクラウド)にバックアップされている場合、恐らく実際はAmazonのサーバーに保持されています。したがって、AWSと、直接使用しているサービスの両方を確認する必要があります。
クラウドで自分の身を守る
幸い、クラウドで自分のデータを保護するためにできることはたくさんあります。そのための最善の方法の1つは、セキュリティの手段として暗号化を使用することです。
暗号化には次のようにさまざまな利用方法があり、クラウドプロバイダまたは別のクラウドセキュリティソリューションプロバイダによって提供されることもあります。
- クラウドとの通信全体を暗号化できます
- アカウントのログイン情報など、特に機密性の高いデータのみを暗号化できます
- ダウンロードの暗号化も含め、クラウドにアップロードされたすべてのデータのエンドツーエンドの暗号化を安全に行うことができます。そのため、暗号化キーがなければ部外者が通信を利用できる箇所がありません
- クラウドに保存する前に自分でデータを暗号化するか、サービスの一部としてデータを暗号化するクラウドプロバイダを利用できます
暗号化でデータをスクランブルして、暗号化キーを持っている人だけが読み取れるようにしますデータが紛失したり盗まれたりしても、実質的に読み取れず、無意味になります。ただ、クラウドを利用して企業のグラフィックやビデオなどの機密性の低いデータを格納するだけの場合は、エンドツーエンドの暗号化は過剰かもしれません。一方、財務情報、機密情報、ビジネス上慎重な扱いを要する情報の場合はこれが不可欠です。
クラウド内では、データの移動中に傍受されるリスクが高くなります。1つの保管場所から別の保管場所に移動するとき、またはオンサイトのアプリケーションに送信されるときに、脆弱になります。これが、重要なデータにとってエンドツーエンドの暗号化が最適なクラウドセキュリティソリューションである理由です。
暗号化を使用している場合は、暗号化キーの安全な管理が重要であることを忘れないようにしましょう。キーのバックアップを保管してください。理想を言えば、クラウドでは保管しないでください。また、暗号化キーは定期的に変更しましょう。誰かがアクセスしても、変更したときにシステムから締め出すことができます。
以下はクラウドの実装に組み込むべき、いくつかの基本的なサイバーセキュリティのヒントです。クラウドのデータ漏洩の多くは、設定ミスなどの基本的な脆弱性が原因です。それを防げば、クラウドのセキュリティリスクを大幅に削減できます。
- デフォルト設定をそのままにしないようにしましょう。デフォルトの設定を使用していると、ハッカーがいつでも玄関から入って来られます。ドアの前に鍵を置いたようなものだからです。
- クラウドストレージバケットを開いたままにしないようにしましょう。開いていたらハッカーがストレージバケットのURLを開くだけでコンテンツを見られてしまいます。
- 有効にできるセキュリティコントロールをクラウドベンダーから提供されている場合は、それを使用しましょう。適切なセキュリティオプションを選択しないと、危険にさらされる可能性があります。
これだけでは不安な場合は、個別にクラウドセキュリティソリューションプロバイダを利用することをお勧めします。
クラウドストレージとファイル共有
クラウドデータを他者とどれだけ共有しているかも考える必要があるでしょう。コンサルタントやフリーランサーとして仕事をしている場合は特に必要です。Google Driveや別のサービスでファイルを共有するのは、クライアントと仕事を共有する手軽な方法かもしれませんが、自分が権限を 適切に管理していることを確認する必要があります。たとえば、異なるクライアントがお互いの名前やディレクトリを参照したり、さらに悪い場合は、お互いのファイルを変更したりできませんか。
このような一般に利用可能なクラウトストレージサービスの多くは、データを暗号化していないことを忘れないでください。暗号化を利用してデータの安全を確保したいなら、データをアップロードする前に、自分で暗号化ソフトウェアを使用して暗号化する必要があります。その後、クライアントにキーを渡さなければなりません。そうしないと、クライアントがファイルを読むことができません。
クラウドデータの保護
クラウドを使用している場合でも、標準的なサイバーセキュリティ対策を無視するべきではありません。ですから、オンラインで可能な限り安全でいたいなら、次のことは考慮する価値があります。
- 強力なパスワードを使用しましょう。文字、数字、特殊文字を組み合わせると、パスワードの解読が難しくなります。Sを$記号に置き換えるなど、ありがちな選択は避けるようにします。文字列がランダムであればあるほどよいでしょう。
- パスワードマネージャーを使用しましょう。使用しているアプリケーション、データベース、サービスそれぞれに違うパスワードを付けることができ、それをすべて覚えておく必要がありません。ただし、パスワードマネージャーを強力なマスターパスワードで保護することが不可欠です。
- スマートフォンやタブレットなど、クラウドデータのアクセスに使用しているすべてのデバイスを保護しましょう。データを多数のデバイス間で同期している場合、そのいずれかのリンクが弱点となって、デジタルフットプリント全体を危険にさらすこともあります。
- 定期的にデータをバックアップして、クラウドプロバイダでクラウドの停止やデータ損失が発生した場合に、データを完全に復元できるようにしましょう。そのバックアップは、 自宅のPC、外付けハードドライブ、または、2つのクラウドプロバイダがインフラストラクチャを共有していないことが確実である限り、クラウドツークラウドでも可能です。
- 権限を使って、必要でなければ個人またはデバイスがすべてのデータにはアクセスできないようにしましょう。たとえば、企業はデータベースの権限設定でこれを行います。ホームネットワークがある場合は、お子さん、IoTデバイス、テレビ用にゲストネットワークを使用します。自分用に「すべての領域のアクセス」パスを確保しておきます。
- ウィルス対策およびマルウェア対策ソフトウェアを使って自分を保護しましょう。マルウェアがシステムに入り込んだら、ハッカーがたやすくアカウントにアクセスできるようになります。
- パブリックWi-Fiでデータにアクセスしないようにしましょう。それが強力な認証を使用していない場合はなおさらです。仮想プライベートネットワーク(VPN)を使用して、クラウドへのゲートウェイを保護してください。
- 多要素認証(MFA)は、アクセスを保護する賢い方法です。これには、指紋などの生体認証データや、パスワードとモバイルデバイスに送信される個別のコードの2要素認証などがあります。時間はかかりますが、非常に機密性の高い情報に役に立ちます。
- サービスを積極的に管理しましょう。サービスやソフトウェアを使用しなくなった場合は、適切に除去してください。ハッカーは、開いたままで休止状態になっている古いアカウントのバックドアをたいへん好みます。
最後に、接続しているデバイスごとに個別のセキュリティサービスを利用するのではなく、Kaspersky Security Cloud,などの保護製品を購入することをご検討ください。コンピュータとスマートフォンのすべてが管理されます。さらに、VPNも付属しているため、オンラインでの保護に必要なものがすべて揃います。
関連リンク
モバイルセキュリティの脅威トップ7:スマートフォン、タブレット、モバイルインターネットデバイス – 未来には何が待っているか
クラウドセキュリティとはどういうことでしょうか。
Kaspersky
