クラウドストレージには高度なセキュリティが求められます。情報漏洩は企業のブランドイメージを損ない、社会的信用を失墜させる恐れがあるため、あらゆるリスクを想定してデータを保護しなければなりません。本記事では、クラウドストレージを評価するときに役立つ11項目のチェックリストを解説します。
Contents
クラウドストレージのセキュリティを11項目でチェック
クラウドストレージのセキュリティを評価する上で、重要な11項目をピックアップしました。
- ウイルスチェック
- 不正アクセスからの防御
- 通信の暗号化
- ファイルの暗号化
- 多要素認証
- アクセス管理
- バックアップ
- ログの監視、証跡の記録
- 可用性・信頼性
- セキュリティポリシー
- ISMSなど第三者認証の取得
それぞれ基礎知識を解説しながら、チェックポイントをまとめます。
ウイルスチェック
セキュリティ対策の基本は、ウイルスチェックです。クラウドストレージに保存するファイルがマルウェアやウイルスに感染していないかどうか、アップロードしたときにリアルタイムで自動的にチェックする機能を備えていることが必須といえます。サイバー攻撃は日々新たな手法が登場し、常に新しいウイルスが発生します。最新の情報に更新して監視し、必要に応じて隔離や削除を行ってデータを保護します。
不正アクセスからの防御
クラウドストレージに限らずSaaSのサービス全般にいえることですが、ウイルスチェックに加えて強固なファイアーウォールやWAF(Web Application Firewall)、次世代ファイアウォール(NGFW)などを備えていることです。DDoS攻撃から保護するための対策、不正侵入検知システム(IDS)、不正侵入防御システム(IPS)などもあります。不正なパケットを遮断し、ログの改ざんを防いでデータを守ります。
通信の暗号化
通信の暗号化は、なりすましを防ぐために重要です。代表的な暗号化方式に、SSL/TLSがあります。SSLはSecure Sockets Layer、TLSはTransport Layer Securityの略です。現在はTLS1.2/1.3が主流であり、1.3ではセキュリティとスピードが向上しました。TLSは公開鍵暗号化が使われ、通信相手の認証と証明書を発行することにより、身元が確認できた相手と安全な通信を行います。
ファイルの暗号化
ファイルの暗号化は、クラウドストレージに保存されたデータを保護します。データ暗号化のアルゴリズムによる暗号鍵を使い、正しい鍵を持っていないユーザには内容が確認できないようにする仕組みです。暗号化と復号の両方で同一の鍵を使う共通鍵暗号方式のAESや3DES、異なる鍵を使う公開鍵暗号方式のElGamalやRSAなどがあります。公開鍵暗号方式では、暗号化に公開鍵、複合時に秘密鍵という2つの鍵を使うことから、セキュリティを強化することが可能です。
多要素認証
多要素認証(MFA)は、悪意を持ったユーザがアクセスできないようにするため複数の認証を組み合わせる方法です。IDとパスワードが一般的ですが、以下のような情報の要素を使った認証方法があります。
| 知識情報 | 担当者だけが知っているパスワード、PINなど |
| 所持情報 | スマートフォンのSMSなど |
| 生体情報 | 指紋、虹彩、静脈、顔など |
要素を組み合わせてセキュリティを強化します。知識情報と所持情報を組み合わせるのが多要素認証であり、パスワードの入力後にPINを入力させる場合は2段階認証になります。多要素認証のほかに、シングルサインオン(SSO)もユーザの制限と煩雑なパスワードの管理を軽減するために役立つ認証方法です。
アクセス管理
アクセス管理は、ユーザのアカウントによってアクセスできるフォルダやファイルを制限して、アクセスを制御します。アクセス制御には、IPアドレスのパケットレベルで管理する均一の管理、オブジェクトレベルで管理するきめ細かな管理があります。さらにアクセス権限機能を活用することにより、PDFファイルの閲覧や印刷をできないようにしたり、ファイルの編集を制限したり、チームや部署単位でのセキュリティ管理を実現できます。
バックアップ
大切なデータの消失は、企業にとって大きな損害です。DR(ディザスタリカバリ)など災害対策とサイバー攻撃の対策から、安全性を保つためにバックアップと復元も重要になります。クラウドストレージで情報を共有する場合は、誤ってデータを削除するような場合も含めてバックアップに注意すべきです。バックアップは日時と実行する範囲が重要であり、定期的に自動化してバックアップを行います。
ログの監視、証跡の記録
外部からの攻撃や侵入だけでなく、内部不正についても注意が必要です。業務時間外の不正なダウンロードなどを監視して、情報漏洩などを未然に防ぎます。記録された証跡を分析することで、さまざまな問題の早期発見にも役立ちます。ログの管理は保存期間も重要です。3年間のように長期間の保存ができるサービスもあります。
可用性・信頼性
一般的に可用性とは、システムを災害やアクシデントなどで停止させることなく稼働を維持できることですが、情報セキュリティでは、ユーザが利用したいときに安全にアクセスできる環境をいいます。安定した稼働については、SLA(Service Level Agreement)を確認します。高水準のサービス維持が保証されている場合は、安心して利用ができます。
セキュリティポリシー
クラウドサービスのセキュリティについて機能を中心に解説しましたが、ベンダー評価のためにセキュリティポリシーも確認すべきポイントです。セキュリティポリシーは、ユーザの情報資産をどのように保護して運用していくか、方針と行動指針を示したものです。自社のセキュリティポリシーと照らし合わせて確認します。ガイドラインを明確に定めて運用しているサービスは、信頼できます。
ISMSなど第三者認証の取得
最後にクラウドストレージを総合的に判断するポイントとして、ISMS(情報セキュリティマネジメントシステム)など第三者認証の取得を確認します。認証取得のためには、厳しい審査の通過が必要になります。外部からの客観的なチェックを通過したサービスであれば、安心して利用できます。重要な情報をクラウドストレージで管理する場合は、認証取得済みのサービスを選ぶべきです。
自社の教育や制度も見直すこと
クラウドストレージのセキュリティに関して、11項目のチェックリストで整理しました。自社のセキュリティを強化させるプラスアルファとしては、従業員に対する個人情報保護などセキュリティに関する教育の徹底、インシデントが起こった際の連絡経路、対処方法などの整備があります。利用するクラウドストレージの機能だけでなく、従業員の心構えや行動などにも配慮することがポイントです。
まとめ
クラウドストレージのセキュリティは、全体を見渡してチェックすることが大切です。Fleekdriveは、ファイルアップロード時のウイルスチェック、通信とファイルの暗号化、認証、アクセス権限など高度なセキュリティ機能を備えています。ISMS取得済みのため、安心してお使いいただけます。クラウドストレージの導入を検討されている場合は、ぜひご相談ください。
