ブログ

オンラインストレージを業務利用する前に確認すべきセキュリティのチェックポイント | セキュリティ | Fleekdrive ブログ

原田千明 原田千明
2018-06-25 | セキュリティ

近年、オンラインストレージの利用率が高まっています。
DropboxやGoogleドライブといった無料サービスが広く知られていますが、法人向けの有料サービスを利用する企業が増加しています。
そのもっとも大きな理由はやはり、利便性でしょう。
場所を問わずどこからでも必要なファイルにアクセスできる、専用回線がなくても拠点間のファイルの受け渡しができるなど自社専用環境が必要なくサービスを利用するだけというのが魅力となっているようです。
しかし、利便性とトレードオフになるのがセキュリティの問題であり、利便性は上がったけれど情報漏洩のリスクが高まるようでは、業務利用することはできません。
ではいったい、どういう視点でオンラインストレージを選べばいいのでしょうか。ここでは、セキュリティ面のリスクとチェックポイントについて解説します。

オンラインストレージのセキュリティ

オンラインストレージを選ぶ際のチェックポイント

それでは、セキュリティ面のリスクを回避するためには、どのようなオンラインストレージを使用すればいいのでしょうか。サービスを選ぶ際の、チェックポイントを見ていきましょう。

1. データセンターが国内にあるか?

海外に比べ、日本国内にあるデータセンターは安全といえます。その理由としては「治安がいい」「政情不安のリスクが少ない」「電力・通信インフラの品質が高い」「優秀な運用管理者がいる」などが挙げられます。逆にいえば、海外のデータセンターには、これらのリスクを伴うことが考えられるため、注意が必要です。

2. データセンターのセキュリティに問題はないか?

データセンターには、監視カメラと連携した入退管理システムなど、強固なセキュリティを導入する必要があります。データセンターへ入室する際は、ユーザはもちろん、保守点検業者に対しても事前登録が必須となります。また、企業によっては、手荷物検査や携帯電話の持ち込み禁止、ボディスキャンを実施しているところもあります。重要な情報を守るためには、厳格なセキュリティ対策が欠かせません。

3. サービス水準合意がきっちり定められており、基準にマッチするか?

「サービス水準合意(SLA:Service Level Agreement)」とは、サービスの提供者(プロバイダー)と委託者(顧客)のあいだで契約を行う際に、サービス内容や範囲、品質に対する要求水準を明確にしておくこと、またはそれを明文化した文書のことです。要求する品質が提供されなかった場合のルールを含めて、両者で事前に合意しておくことが必要です。なぜなら、オンラインストレージは実体がないため、サービスレベルの認識に食い違いが生じる可能性が高いからです。「次第に品質が下がった」「不安定なこともある」といったことのないよう、基準を明確に提示しておきましょう。

4. 外部からの攻撃に対し、しかるべき対策が講じられているか?

ウェブの世界は日々進歩していますが、同時に悪意のある攻撃手法も巧妙化してきています。もしもオンラインストレージサービスが攻撃を受け、障害によるサービスの停止や個人情報の漏洩などが生じた場合、被害を受けるのはサービスの利用者です。したがって、外部からの攻撃に対してしかるべき対策が講じられているか、事前に確認しておく必要があります。

5. アップロードされたファイルはウイルスチェックされているか?

取引先などを含め、さまざまなファイルをやりとりするオンラインストレージは、ウイルスチェック機能が必要不可欠です。ファイルがアップロードされると同時に、ウイルスチェックが行われるサービスを選びましょう。

6. ファイルは暗号化して保管されているか?

万一のサーバアタックなどで、クラウドストレージからファイルを取得されるとも限りません。しかし、ファイルが暗号化されていれば、簡単には解読できないため、悪用の危険性が減ります。より強固かつ最先端の暗号化方式を採用しているサービスを選びましょう。

7. アクセス元を制限することができるか?

運用するフォルダごとにアクセス元を制限することができるかという点は、オンラインストレージサービスにおいて非常に重要なポイントです。例えば、インターネットカフェや海外からといった、本来ありえない拠点からのアクセスを遮断することができれば、より安全にファイルを保管することができます。
もし同じユーザであっても、「あるフォルダには社内にいるときにしかアクセスできない」といった制限を設定することができればなおいいでしょう。細やかなアクセスコントロールができれば、利便性を損なうことなく、セキュリティを担保することができます。

8. 機能レベルで必要なセキュリティが担保できるか?

利用者がファイルを共有する際、情報漏洩を防止するセキュリティ機能があるかどうかも評価のポイントとなります。

9. 第三者機関による評価

評価の基準として、事業者ではない第三者からの評価を参考にするのも大切です。より公正な視点での判断になります。

ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。

「ASP・SaaS安全・信頼性に係る情報開示認定制度」は、財団法人マルチメディア振興センターより、安全・信頼性の情報開示基準を満たしているASP・SaaSサービスであることを認定するものです。

「CSPAクラウドサービス認定」は、中小企業が安全に、そして安心して持続的にビジネスで活用できるクラウドサービスの要件を定めた審査ガイドラインに沿って、一般社団法人クラウドサービス推進機構が厳正に審査をおこないサービスを認定しています。

PCI Security Standards Councilによって認定されたASV(Approved Scanning Vendor)によるスキャンを定期的に実施しているかどうかも安全性を維持しているかのポイントになります。

オンラインストレージは高度なセキュリティ機能で選ぼう

オンラインストレージの業務利用はコストを抑えて業務効率を高めるのに有効なツールです。ただし、ファイルという企業にとって大切な資産を扱うので、セキュリティ対策がしっかりとられているサービスを選定するべきです。

サービスを選ぶ際は、ここで挙げたようなセキュリティに関するチェックポイントを十分考慮する必要があります。
ファイル消失やウイルス、情報漏洩といったリスクから守るためにも、オンラインストレージサービスは高度な技術と機能を注視して選びましょう。

関連記事:
「Fleekdriveのセキュリティ・情報漏洩対策」

「企業向けオンラインストレージを選ぶ時に大事な5つのポイントとは?」

企業向けオンラインストレージ「Fleekdrive(フリークドライブ)」の資料請求はこちらから