オンラインストレージやメールなど、クラウドサービスは私たちの暮らしに欠かせないものになりつつあります。しかし、これらのサービスは便利な反面、サービス事業者に個人情報を預けることになること、不特定多数の利用者とシステムを共有することなどから、セキュリティ上一定のリスクがあります。クラウドサービスを安全に使うためにも、サービス事業者側で行なっているセキュリティ対策について知っておきましょう。
他人事じゃない!?クラウドで起こりうるセキュリティ事故
多くの人が利用しているクラウドサービスですが、セキュリティ的にまったく問題がないわけではありません。深刻なセキュリティ事故を防ぐためには、一人ひとりのユーザーがセキュリティ対策を意識して利用することが大切です。クラウド上で起こりうるセキュリティ事故の例としては、次のようなものがあげられます。
- アカウント情報の流出
クラウドのシステムへのサイバー攻撃などにより、利用者のアカウント情報が流出してしまうことがあります。またユーザー側のパスワードの使い回しなどが原因で、アカウント情報が漏れてしまうことも。 - 標的型攻撃
標的型攻撃は、機密情報などの入手を目的として、特定のターゲットを目的に行われるサイバー攻撃です。サーバーダウンや情報漏洩などの原因になります。 - スパムやフィッシングメールの配信
アカウント情報が流出した結果、サービスの利用者のメールアドレス宛にスパムメールやフィッシングメールが配信されます。フィッシング詐欺などによる二次被害が出る恐れもあります。 - 情報漏洩
ユーザーによるファイルの公開範囲の設定ミス、あるいはサーバーへの標的型攻撃などが原因で、クラウド上に保管してあったデータが外部に漏れてしまうことがあります。
クラウド利用で被害にあった人はどのくらいいる?
クラウドは便利なサービスですが、不特定多数の人々が利用しているため、トラブルが起きるリスクもあります。実際、クラウドを利用していてトラブルに見舞われたひとはどれくらいいるのでしょうか。全国の男女150名を対象にアンケート調査を実施してみました。
質問
クラウドを利用していて何らかの被害にあったことはありますか?
回答結果
ある:15名
ない:135名
調査地域:全国
調査対象:年齢不問・男女
調査期間:2017年02月24日~2017年03月01日
有効回答数:150サンプル
10人に1人は何らかの被害に遭っている!
調査の結果、10人に1人は何らかの被害に遭った経験があるという恐ろしい事実が分かりました。まずは、幸運にも今のところ被害に遭ったことがないという人の声を紹介します。
- 現在のところ、個人情報が漏れたり、物を売るための電話が何回もかかってくるなどの被害はない。(30代/男性)
運よくまだ被害に遭ったことがないという人がいる一方、すでにトラブルに遭ってしまった人もいます。彼ら・彼女たちの怖い体験談はこちらです。
- 会社である商品開発に関するアイデアをインターネットで提案していましたが、会社とは関係ないグループから会社宛てに私のアイデアに細工したものが売り込み提案されました。(70代/男性)
- サーバーがダウンしてしまい、2時間程データを閲覧できなくなりました。当時は仕事の資料がすべてそこに入っていたため、仕事の中断を余儀なくされ非常に困りました。(20代/女性)
- 保存した内容を他人にハッキングされて情報を盗みとられてしまった。(20代/男性)
- ある日突然データが消えた。その後そのサービスはデータ復旧できないとの事で突然終了した。(40代/男性)
トラブルに見舞われた人の中には、データ消失、ハッキングなど深刻な被害に遭っている人もいるようです。
いつ起こるのかわからないのがインターネット犯罪をはじめとするトラブルです。クラウドを安全に利用するためにはセキュリティ対策が重要と考えさせられる結果となりました。
基本の「き」!一般的なセキュリティ対策
不正アクセスなどを防ぐため、クラウドの運営側が行っている一般的なセキュリティ対策としては、ファイアウォールとIPSの2つがよく知られています。
- ファイアウォール
ファイアウォールは、外部からの不正アクセスを防ぐためのセキュリティ対策です。発信元や通信情報をもとに、アクセスが不正かどうかを判断し、不正アクセスとみなした通信を自動的にシャットアウトすることで、外側からの不正アクセスを防止します。不正アクセスを検知すると、PCやサーバーの監視者に通知を行う監視機能も備わっています。ただし、ファイアウォールには、内側からの怪しい動きに対応できない、データの中身を確認して不正アクセスかどうかの判断ができない、などの弱点があります。 - IPS(侵入防止システム)
IPSは、外部との通信および内部通信を監視し、システムやネットワークに対する不正行為を検出・防御措置をとるというもの。通信内容の解析ができるため、一見正常に見える通信を利用した攻撃などファイアウォールで検出できない攻撃も防御することができます。監視対象のサーバーなどにインストールして使うホスト型IPSと、監視対象となるネットワークに設置するネットワーク型IPSがあります。
webページの安全性を高めるWAF
ファイアウォールやIPSでは防げない攻撃もあります。そこで活躍するのがWAFです。WAFはwebアプリケーションの防御に特化したセキュリティ機能です。webアプリケーションに送られる通信内容の解析・監視ができるのが特徴で、アプリケーションの脆弱性を利用した攻撃からシステムなどを守ってくれます。WAFが対応できる攻撃の例としては、データの不正操作を行うSQRインジェクションや、悪意のあるページを閲覧したユーザーのブラウザで不正な命令を実行させるクロスサイトスクリティプティング、URLパラメータやCookieなどの値を書き換えるパラメータ改ざん、さらにパスワード特定を狙ってログインを繰り返すパスワードリスト攻撃があります。
これらのwebサイトの脆弱性を狙った攻撃は、ファイアウォールやIPSでは対応することができません。クラウドのようなwebサービスを運営している企業にとって、WAFは必須の対策といえるでしょう。ちなみに、WAFには、サーバーにソフトウェアをインストールして使うホスト型WAF、新たなネットワーク機器を設置するゲートウェイ型WAF、クラウドサービスで提供されているクラウド型WAFの3種類があります。
セキュリティを理解してクラウドを安全に使おう
クラウドサービスにおけるセキュリティ事故、およびそれを未然に防ぐための一般的なセキュリティ対策について紹介してきました。もちろんサービスを安全に利用するためには、サービス事業者に対策を丸投げするのではなく、ユーザーの一人ひとりの努力も大切です。パスワードの使い回しをしない、セキュリティソフトを入れる、ITシャドーをしないなど、できる対策をしっかり行うことが、個人情報や機密情報をサイバー犯罪から守ることにつながります。