クラウドセキュリティ:オンラインで安全に業務

あなたはインターネットで音楽を聴きますか? または、社内のチャットシステムで同僚と交流していますか? もしそうであれば、すでにクラウドコンピューティングに触れています。クラウドサービスは、日常生活に欠かせない存在になっています。膨大な量のデータを処理し、従業員のニーズに柔軟に対応するために、企業はクラウドサーバへの依存を高めています。技術的な可能性の広がりに伴い、クラウドセキュリティの対象が増えています

ステップ1:クラウドセキュリティの仕組み

クラウドコンピューティングサービスには、多様なメリットがあり、通常は高度なクラウドセキュリティも提供しています。しかしながら、万が一の事態が発生した際に正しい判断を下し、適切に対応するため、想定されるリスクを前もって知っておく必要があります。個人や企業がセキュアクラウドに関して知っておくべきことや、クラウドサービスを選ぶ際のポイントをまとめました。

接続の品質を確認する

クラウドコンピューティングには、堅固な基盤が必要です。地方では多くの企業が、ブロードバンド接続の整備不足という課題を抱えています。インターネット通信速度がわずか6メガビット/秒の企業が、従業員100人を対象としたクラウドサービスを発注してはいけません。そのようなことをすれば、データ伝送速度が遅いためアプリケーションの反応が鈍くなり、生産性も意欲も大きく損なわれるかもしれません。


そのため長期的には、クラウドコンピューティングを、高速で柔軟なデータアクセスを実現する他の画期的な技術と組み合わせることが不可欠です。その技術とは、未来の移動通信規格5Gです。LTEネットワークの100倍の通信速度を実現し、データ伝送にかかる時間が短縮するため、セキュリティへの好影響につながります。つまり、非常に短時間でデータのアップロードやダウンロードを実行することが可能です。ここから、セキュアなクラウドコンピューティングの新たな機会が生まれます。

研修を通じたネットワークセキュリティの実現

知識は身を守ります。それ故に、企業はクラウドデータ保護について定期的に従業員を教育し、データアクセスの重要性を認識させなければなりません。ネットワークセキュリティに詳しければ、すぐに矛盾を発見し、際立った事象に注目することができます。クラウドセキュリティソリューションは、さらなる安全を提供できます。ユーザーの異常な行為を記録し報告してくれるため、企業として速やかに対策を講じることができます。

ステップ2:クラウドセキュリティの要件は何か?

クラウドに求める基準を決めましょう。どのようなクラウドセキュリティの課題を、知る必要がありますか? クラウドコンピューティングの潜在的なリスクを、どのようにすれば軽減できるでしょうか?

システムの弱点を明らかにする

警戒を怠らないこと。クラウド型のITとネットワークシステムには、セキュリティ上のギャップや弱点が隠れていることがあります。クラウドサービスを導入する前に、定期的なセキュリティスキャンを実施しているか、速やかにセキュリティパッチを適用しているか、必ずプロバイダーに確認してください。

クラウドコンピューティングのネットワークセキュリティ

多くのサービスプロバイダーは、高度なデータ保護規則とセキュリティ対策を維持しています。クラウドコンピューティングサービスを導入する企業は、卓越したクラウドセキュリティに守られつつ、クラウドコンピューティングの疑う余地がない利点を享受できるメリットがあります。これは、極めて重要な前提条件です。機密データを伝送し保管することにおいては、クラウドセキュリティが欠かせないからです。IoTデバイスからエッジプラットフォーム、クラウドアーキテクチャまで続く「信頼の連鎖」を築くものです。プロバイダーのデータセキュリティに対する姿勢は、ISO認証や、EuroCloudあるいはCloud EcoSystemなどの団体が提供するクラウド認証によって確認できます。 ISO 27017、IS 27018、BSI C5などの認証は、厳しいセキュリティ要件を満たすプロバイダーにのみ付与されます。

クラウドセキュリティとサービスプロバイダーのコンプライアンス基準

クラウドサービスプロバイダーは、厳しいセキュリティ規則、コンプライアンス規則に守らなければなりません。2018年5月以降は、これにEU一般データ保護規則(EU-GDPR)も含まれます。クラウドのGDPR規則に違反したプロバイダーは、データを失い、第三者にアクセスされるおそれがあります。この場合、プロバイダーは重い罰則を科され、評判を失いますが、それだけではありません。クラウドを保護する責任をプロバイダーに転嫁することはできないため、個人ユーザーや企業ユーザーも義務を負います。そのため、クラウドプロバイダーを選択する際は、GDPR規則を遵守しているか必ず確認しましょう。

インサイダーによるアクセスからの保護

厳密に言えば、ひとつのクラウドセキュリティリスクがもたらす危険は、ひとつではありません。セキュリティリスクは、根本的な部分で企業に関わってくるからです。つまり、自社の従業員やサービスプロバイダーの従業員などの、いわゆるインサイダーによる攻撃です。この種の攻撃は、特にシステム管理者など、大きなアクセス権限を与えられた従業員が関与する場合には、ひときわ悪質なものになります。コンサルティング会社KPMG社の調査によると、ドイツの企業ではデータ窃盗事件の20%が、インサイダーによるものです。そのため、インサイダーの行動を定期的に監視することが極めて重要になります。

ステップ3:クラウドセキュリティの課題を克服する方法

潜在的なクラウドセキュリティリスクを予測して軽減し、ソリューションを編み出す

クラウド型DDoS(分散型サービス拒否)攻撃

どのクラウドが安全と考えられるでしょう? プロバイダーを選ぶ前に、まずはネットワークトラフィックの監視、各種のプロテクションシステムの活用といった点に対応しましょう。たとえば、攻撃者が不正に乗っ取った複数のコンピュータから大量のリクエストを送信すると(DDoS攻撃)、サービスを利用できなくなります。こうした場合、プロバイダーは適切な予防措置をとる義務を負います。セキュリティチームが出来る限り速やかに原因を究明し、対応して復旧と保護を行うために、自動インシデント対応とリカバリルーチンが特に推奨されます。より高度なクラウドセキュリティを実現するために、こうしたシナリオについてもプロバイダーに確認しましょう。

エッジコンピューティングでクラウドセキュリティを実現

エッジコンピューティングは、大量のデータを扱う極めてインテリジェントなソリューションです。クラウドの末端で演算処理が行われるため、このソリューションはクラウドへの最適な拡張です。すなわち、演算能力が、データが発生する場所に分散化されるわけです。マイクロプロセッサが、クラウドから独立してデータを集め、アクションを導き出し、処理を作動させます。このプロセスが、データポイントが遷移する末端で実行されます。エッジコンピューティングは、クラウドセキュリティに大きな強みをもたらします。データがクラウドに転送される前に、フィルタリングして一つにまとめ、匿名化できるためです。クラウドやエッジには、多様なIoTデバイスから大量のデータが流れ込むため、どちらもサイバー攻撃の標的になりがちです。そのため、IoTデバイスとともに、クラウドサーバプラットフォームとエッジサーバプラットフォームの安全を確保することが、極めて重要になります。たとえばインフィニオンのアラームシステムなど、安全性が保証されたクラウドと実用的なアプリケーションを実現する、エッジコンピューティングのメリットの詳細について、エッジコンピューティング: 今、知っておきたいことをご覧ください。

クラウドセキュリティと暗号化されたクラウド

正しく使えば、クラウドがセキュリティを高めることは確かです。米国の企業を対象とした調査でも、同じ結論が出ています。クラウドコンピューティングにおいて最も重要な資産に、22%の割合で、クラウドプロバイダーのセキュリティ強化をあげています。セキュリティ向上は、ITリソースの効率性、拡張性の向上よりも上位にランクインしています。たとえば、信頼できるプロバイダーは、効率的なサーバ防衛センターの設置と、データ暗号化のための定期的なパッチ適用によって、クラウドインフラを攻撃から守っています。クラウド上だけでなく、データをクラウドに転送する際にも、暗号化が必要です。従って、個人ユーザー、それに当然ながら企業ユーザーは、プレーンテキストでデータ転送を行わないデバイスを使用する必要があります。ここでもエッジコンピューティングの考え方が威力を発揮し、クラウドセキュリティに大きく貢献します。

安全なプログラムインターフェイス

インターフェイス(アプリケーション プログラミング インターフェイス、略称API)は、社内ITシステムとクラウドの接続を促します。クラウドサービスへの接続には誰でもアクセスできるため、インターフェイスにセキュリティのギャップがあってはなりません。社内インターフェイスを守るため、社内IT部門に十分な専門知識を蓄える必要があります。もちろん、クラウドプロバイダーにも同じことが言えます。

ステップ4:持続可能なクラウドセキュリティの基本となる4つの行動規範

クラウドの活用は、大きなチャンスとメリットをもたらします。他方で、クラウドの活用に伴うさまざまな課題に対処が可能です。一般家庭や、特に企業は、潜在的なリスクから積極的にかつ効果的に身を守ることができます。クラウドプロバイダーのサービス内容に関わらず、ネットワークセキュリティを確実に守るため、次の4つの行動規範をどのように実践できるか、確かめてみましょう。

1. データセンターの場所の確認、クラウドデータの保護
これは、最も重要な安全ルールのひとつです。クラウドを使うなら、データ保管場所を知っておく必要があります。クラウドサービスは、海外も含めて、複数のデータセンターに情報を保管します。そのため、個人データや業務上必要なデータを扱う際に、データ保護法に違反するおそれもあります。こうした理由から現在では、多くのクラウドサービスプロバイダーのクライアントは、データの保管先を指定することができます。たとえば、ドイツのみでクラウドを使いたい場合、そのように指定できます。「ドイツ国内のクラウド」で処理されるサービスとアプリケーションには、比較的厳しいドイツのデータ保護指針が適用されます。これにより、特に慎重な扱いが必要な個人データを最適な形で保護することができ、クラウドセキュリティが向上します。

2.クラウドと転送データの暗号化
暗号化は、クラウドセキュリティに大きく関わります。プレーンテキストではない暗号化されたデータは、第三者のアクセスが難しいため、悪用されにくくなります。極めて高度なセキュリティ基準を採用している企業は、暗号化ハードウェアを使うこともできます(ハードウェア セキュリティ モジュール、HSM)。パブリッククラウド上のデータ暗号化に関して、ドイツの企業がまだ満足できる水準にありません。ウイルス対策のスペシャリストBitdefender社が実施した調査によると、データを暗号化している企業は9社中1社にとどまります。そのため、実装の余地が大いにあります。

3.ローカルバックアップによるネットワークの安全性
バックアップの専門家は、重要なデータをクラウド環境のみに保管してはいけないと忠告しています。データ喪失を防ぐため、クラウドプロバイダーは基本的にバックアップを作成していますが、定期的にバックアップを用意しておくといいでしょう。自宅(オフサイトバックアップ)または自社データセンターに、最低ひとつはコピーをとっておきましょう。

4. ユーザー認証によるクラウドセキュリティ
重要なセキュリティ対策のひとつは、従業員の認証です。認証された人だけが、クラウド環境のデータやリソースにアクセスできるようにします。多要素認証を使うことで、セキュリティをさらに強化できます。ユーザー名とパスワードだけでなく、クラウドサービスへのアクセスが確認されるのは、もうひとつの検証を経てからになります。たとえば、携帯電話に送信されるPIN(暗証番号)などが考えられます。

展望:クラウドセキュリティの未来

クラウドコンピューティングの可能性は広がり続け、そのメリットも増え続けています。同時に、クラウドセキュリティの要件も増大しています。
そのため、人工知能(AI)システムを確立するには、機械学習などのAIサービスに対応できる適切なクラウドベースの演算能力だけでなく、取り込んだ学習データを安全な形で処理することも求められます。機械学習のプロセスでは、ユーザーデータを集めてシステムを自動的に改良することもあるからです。そのため、ユーザーのプライバシーも尊重しながら、データを匿名化しなければなりません。このような場合、特別なセンサーを使って、関連性のあるデータを集める際に正確な読み取りを実現できます。
可能性を広げ、同時にクラウドのリスクを減らします。センサーを使った安全ソリューションは、クラウドやエッジに接続されたデバイスを最適な形で守ります。詳しくは、インフィニオンのクラウドプラットフォームおよびデバイスセキュリティアプリケーションをご覧ください。

クラウドセキュリティのメリットとリスクの概要

メリット:

  • エッジコンピューティング: エッジコンピューティングは、クラウドに転送する前に、データをフィルタリングして1つにまとめ、匿名化します。これによりクラウドセキュリティが向上します。
  • 多要素認証: ユーザーは、ユーザー名とパスワードだけではなく、追加で別の認証を使ってクラウドへのアクセスを確認します。
  • 暗号化: プレーンテキストを表示しない暗号化されたデータは、第三者には判読が困難になるため、悪用されにくくなります。
  • 場所の選定:現在のデータ保護方針も考慮してサービスプロバイダーの場所を選べます。ドイツのクラウドには、比較的厳しい法律が適用されます。


リスク:

  • インサイダーアクセス: 自社やプロバイダーなどの、いわゆるインサイダーによる攻撃。
  • DDoS攻撃: プロバイダーは、ネットワークのトラフィックをどのように監視し、どのような防御システムを使用しているでしょう。
  • 安全およびコンプライアンス基準: クラウドサービスプロバイダーには、一般データ保護規則(GDPR)などの厳しい安全およびコンプライアンス基準が適用されます。企業ユーザーだけでなく、個人ユーザーもこのことを知っていなければなりません。プロバイダーに責任を負わせることはできません。