昨今、導入の手軽さと管理運用負担の削減などを目的とし、クラウドを導入・移行する企業が増加しています。ビジネスの効率化を実現できるというメリットがあるものの、クラウド導入への懸念の声も相次いでいます。
クラウドを利用するにあたり、考えるべき点が「クラウドセキュリティ」です。クラウド利用におけるセキュリティ事故は相次いでおり、導入する際には明確なセキュリティ対策が必要です。そこで本記事では、トヨタ株式会社におけるセキュリティ事故の事例をもとに、クラウドセキュリティの重要性や対策を解説します。便利で効率が上がるクラウドですが、セキュリティリスクと対策を理解することで、より安心した利用ができるでしょう。
クラウドを導入する企業が増えている
2010年初期から、人工知能やビックデータ、ブロックチェーン、クラウドといった技術の影響により、企業のデジタル化が進んできました。そして、コロナウイルスの影響により、デジタル化がさらに加速しています。
その中で、デジタル化の中心にいるのが「クラウド」です。自社でシステムを所有・管理し、サーバを運用する「オンプレミス」に対し、「クラウド」はシステムを自社で保有せず、クラウドサービス提供者であるCSP(Cloud Service Provider)を通じて管理でき、費用対効果が高いということから、多くの企業で導入が進められています。
オンプレミスに比べ導入が比較的簡単で利便性の高いと言われるクラウドですが、セキュリティ面に不安を感じ導入を迷う企業も多いでしょう。実際、クラウドセキュリティ対策を講じておらず、事故が起きることも近年多発しています。
重要視されるクラウドセキュリティ
クラウドの利用にあたり、クラウドセキュリティの策定は重要です。クラウドセキュリティとは、クラウド環境でのリスクに対するセキュリティ対策を指します。つまり、クラウドに保管されているデータを情報漏洩や不正アクセスから保護する対策です。
IT企業ベナフィの研究によると、過去12ヶ月の間に組織の80%以上が、クラウドプラットフォームでセキュリティ事故を経験したと報告しています。さらに、そのうちの半分の組織が、同じ期間に少なくとも4件のセキュリティ事故を経験したと答えました。
そのため、クラウドを導入するにあたって、セキュリティが考慮されていないと、重大な事故に発生する可能性があるのです。これらの理由から、昨今クラウドセキュリティが重要視されています。
クラウドセキュリティを考える際に、重要なのがゼロトラストという考え方です。ゼロトラストとは、すべてのユーザやデバイス、サイトなどを信頼できないものとして捉え、正当性や安全性を検証する考え方です。重要な情報資産やシステムへのアクセス時には、厳密な検証が行われ、マルウェアの感染やサイバー攻撃の脅威を防ぐことにつながります。
トヨタ株式会社におけるクラウドのセキュリティ事故事例
ここまで、クラウドセキュリティの重要性について解説してきました。本項では、クラウドセキュリティ事故として、トヨタ株式会社の事例を解説します。
トヨタ株式会社は、トヨタコネクティッド株式会社に管理を委託しているデータの一部が、クラウドの設定ミスにより、10年間外部からアクセスできるようになっていたと報告しました。
対象となる顧客は、2012年1月2日から2023年4月17日の間に車載インターネットサービス「T-Connect」や「G-Link」、「G-Link Lite」「G-BOOK」を契約した顧客約215万人です。そして、2013年11月6日から2023年4月17日にかけて、車の識別番号である車載端末IDと車体番号、車両の位置、情報、時刻などを第三者が閲覧できる状態になっていました。
トヨタは、セキュリティ事故において、外部より閲覧できた顧客情報は、個人が特定されるものではないと報告しています。そして、以下のように述べています。
「データ取扱いのルール説明・徹底が不十分だったことが主な原因であったと考えております。TC(トヨタコネクティクティッド株式会社)と密接に連携し、従業員への教育を徹底し、再発防止に取り組むと同時に、クラウド設定を監査するシステムを導入し、クラウド環境の設定調査を実施、および継続的に設定状況を監視する仕組みを構築いたします。」
引用:https://global.toyota/jp/newsroom/corporate/39241571.html
このように、クラウドにおけるセキュリティ事故は、人為的なミスで起こる可能性が高い傾向にあります。米国企業のガートナー社によると、2025年までのセキュリティ事故の99%は、設定ミスによるものになると予測されました。
参考:https://www.gartner.com/smarterwithgartner/is-the-cloud-secure
クラウドセキュリティを強化する4つの対策
セキュリティ事故を起こさないためには、どのような対策が必要なのでしょうか。
安全にクラウドを導入したり、移行したりするためには、セキュリティ戦略を確立しておく必要があります。さらに、クラウドセキュリティや既存の情報セキュリティ方法に基づいて行動する点も重要です。
以下の項で、クラウドセキュリティを強化する4つの対策を解説します。
徹底的なIDやパスワード管理
サービスの提供元が高度なセキュリティ対策を行っていても、自社のIDやパスワードが漏洩すれば、外部からのアクセスで被害を受ける可能性があります。そのため、以下で挙げるIDやパスワード管理が必要です。
- クラウドを利用するユーザの統合管理
- アクセス権限の設定
- 退職者のID管理
- ワンタイムパスワードの設定
特に、退職者IDを変更しなければ、退職者や第3者により、悪用される可能性が高くなります。上記の対策により、IDやパスワードの漏洩を防ぐことにつながります。
データ暗号化
やり取りする通信データを外部から見られないような暗号化も必要です。通信データの暗号化により、鍵がなければ暗号の解除ができません。また、第三者による盗聴やなりすましを防ぐ効果もあります。
具体的には、HTTPS化でWebページの暗号化を行い、重要な情報の流出リスクを減らせます。さらに、リモートコンピュータと通信する際の通信を暗号化するSSHも有効です。
システムやソフトウェアのセキュリティ対策
システムやソフトウェアの脆弱性をなくすために、安全性を高めておくセキュリティ対策も重要です。例えば、更新プログラムを確実に適応しておいたり、マルウェアのスキャンを定期的にしたりする必要があります。
クラウドサービス利用の際に、上記の対策が漏れていると、悪意のある第三者からの攻撃対象となるため、しっかりと行いましょう。
クラウド監視
セキュリティ対策として、外部からのアクセス状況といった監視を行い、セキュリティリスクの軽減が求められます。クラウドサービスは、顧客情報や企業情報といった重要情報を利用している場合に、サイバー攻撃の対象となりやすいため監視が必要です。さらに人為的なミスに気付けるように設定の監視も求められるでしょう。
管理方法として、以下2通りの方法があります。
- CSPM
- CWPP
CSPMとは、クラウド環境のセキュリティ構成を管理する仕組みです。パブリッククラウドサービスの設定が安全であるかを監視します。その中で、設定ミスといったセキュリティ事故につながる状況を継続してチェックできます。
CWPPは、ワークロード(クラウド上の仮想マシンやデータベース)のセキュリティを監視することです。主な管理方法として、クラウドのバージョン管理やシステムの設定、ログイン状況の監視が挙げられます。人為的なミスや外部からのアクセスがあるのかを防げるのです。
このように、クラウドの監視により、セキュリティ事故を防げます。
まとめ
本記事では、クラウドセキュリティの重要性を解説してきました。クラウドを利用するにあたり、情報漏洩やサイバー攻撃を防ぐ対策を取ることが重要です。
クラウドセキュリティの方法として、IDやパスワードの管理やデータ暗号化などの対策が挙げられます。クラウドにおけるセキュリティ対策を心がけて、セキュリティ事故を防げる対策が求められるでしょう。
