現代のビジネスにおいては業務上、パブリッククラウドをはじめとしたクラウドサービスの活用が一般化しています。クラウドサービスを利用することで作業の効率化や生産性向上といったメリットが得られるものの、同時にクラウドだからこそのセキュリティリスクへの懸念もあります。
企業にとって大きなリスクとなるサイバー攻撃や情報漏洩といった重大インシデントを防止するためには、クラウドセキュリティへの深い理解と、状況に応じた多面的な対策、社内での意識徹底などが不可欠です。
本記事ではクラウドセキュリティ対策について必要な知識を幅広く解説します。クラウドセキュリティ対策におすすめのサービスも紹介していますので、ぜひ参考にしてください。
目次
チェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.)の公開した「2024年版クラウドセキュリティレポート(Cloud Security Report)」の結果から、クラウドサービス利用によって発生、または懸念されたインシデントは増加傾向であることが分かりました。
インシデントの増加については、働き方改革に伴うテレワーク体制の増加などを目的に、クラウドサービスの利用状況自体が拡大していることも一因ではあるものの、一方でセキュリティ対策の不足自体が問題になっているケースもあると言えるでしょう。
同調査結果からの、クラウドセキュリティ関連インシデントの発生傾向について解説します。
前年度の調査では「過去12ヶ月の間にパブリッククラウドの利用に関連したセキュリティインシデントを経験した」と回答した企業は24%だったのに対し、2024年には61%と大幅に増加しました。クラウドセキュリティ関連のインシデントが発生した企業は前年と比較すると154%増加しており、さらに61%の組織が重大な障害を報告してます。
インシデント発生および重大な障害が発生した件数が増加した背景には、クラウドの脅威の複雑化や発生頻度の向上といった要因があると考えられます。
全体の96%が「クラウドに関するリスクを効果的に管理する能力について懸念がある」と回答しており、クラウド上でのリスクを不安視する利用者がより多くなっていることも分かりました。
さらに91%の組織がセキュリティ対策強化を目的にAIを優先的に導入しているものの、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)を既に完全なかたちで導入できている、と回答した企業はわずか25%にとどまりました。
マルチクラウド環境全体で一貫した規制基準やポリシーを維持する上でのさまざまな課題を持っている企業は54%、さらに49%は既存のシステムやツールとクラウドサービスとの統合が困難であると回答しています。
ユーザー側の技術面やITリソースの制約によって、クラウドセキュリティ統合が複雑化していることや、クラウド上の安全性を高めるために、従来のツールやシステム、機器の垣根を超えた解決策が即急に求められていることが分かりました。
クラウド上で発生する脅威を監視および防止するためにどのようなセキュリティを使用すべきかと考えるためには、まずはクラウド環境への十分な理解が必要です。
クラウド環境の基本的な情報を、オンプレミスとの違いを踏まえて簡単におさらいします。
オンプレミスとは、自社側でサーバーなどの情報システムや機器を保有し、その中で情報のやりとりを完結するかたちで運用することです。現在のように各種クラウド環境・クラウドサービスが一般化する以前から存在していた、従来型の環境構築方法にあたります。
現在でも、情報の秘匿性が重視されるシステムであったり、社内ネットワークで処理が完結するような仕組みの構築にはオンプレミスが選択されることもあります。たとえば従業員の個人情報や新製品の開発情報といった、取り扱いに注意が必要なデータの管理方法などが該当します。
まずクラウドとは、インターネット接続などのネットワークを通じて、幅広いサービスを利用できる状態のことです。運用方法やWeb上のリソースなどにより、さまざまな種類に分類できます。
プライベートクラウドとは、特定の個人や会社専用の空間として構築されたクラウド環境のことです。自社の目的や用途に応じてカスタマイズできる柔軟性や、セキュリティ性が高いという特徴があります。一方で次に紹介するパブリッククラウドと比較すると導入や運用のコストが高くなり、また運用管理や設定のためには社内で専門知識やスキル、技術を有した人材も必要です。
パブリッククラウドとは、不特定多数に対して提供されているクラウドサービスのことです。著名なものでは、「Amazon Web Services(AWS)」や「Googleクラウド(旧GCP)」、「Microsoft Azure」や「OracleCloud」などがあります。不特定多数が利用できるサービスであるものの、ユーザー間で相互の情報がみやみに閲覧できるわけではなく、各サービス元にて独自のセキュリティ対策が実施されています。
導入コストや運用の負担を抑えられる一方で、サポートは提供元のものに限定されるのがデメリットです。そのため、パブリッククラウド利用時のセキュリティは基本的に多くの部分でクラウドサービス事業者に依存しているものの、後述する「責任分界点」を十分に理解した上で、自社でやるべきセキュリティ対策は行っておくことが重要です。
オンプレミスはすべて自社側で情報の管理や運用を行う一方で、クラウドでは第三者側のサーバー上にて情報の保存や管理を行います。また、パブリッククラウドでは情報提供側がセキュリティ対策を行っているものの、実際の責任範囲は利用するサービスによって異なります。
クラウド環境を利用する場合、自社での責任範囲を理解した上で十分なセキュリティ対策を講じなければ、外部からの悪意や攻撃を受けたり、自社側での操作ミスをしたりといったことで重大なインシデントが発生するリスクがあることを覚えておかなければいけません。
クラウドセキュリティへの対応を考える上で特に考慮すべきなのが「責任分界点」です。責任分界点を検討するにあたって、まずはクラウドサービスのモデルによる3つの分類「SaaS・PaaS・IaaS」についてしっかり理解しておくことが求められます。
クラウドのサービスモデルごとの定義や特徴、具体的なサービスの例を順に解説します。
SaaSとは「Software as a Service」の略称で、旧来はパッケージ販売されていたようなソフトウェア製品を、ネットワーク上で提供するクラウドサービスのことです。Web上のソフトウェアにアクセスすることで、パソコンやスマートフォンといった異なる複数のデバイス間でも、情報の保存や管理、新規作成や編集といった操作ができます。SaaSはもっとも多くみられるクラウドサービスモデルであり、具体的なSaaSには、「Gmail」や「Dropbox」「Slack」「Microsoft 365」などがあります。
PaaSは「Platform as a Service」の略で、アプリケーションやソフトウェアを動かすための仕組みである、プラットフォームを提供するクラウドサービスです。プラットフォームを統一することで、システム構築や管理のコストや手間を抑えられるメリットがあります。主にエンジニアなどの開発者に利用されているクラウドサービスです。
具体的なPaaSには、「Heroku」や「Google App Engine」などがあります。
IaaSは「Infrastructure as a Service」の略で、ハードウェアやネットワークなどのシステムを利用する上で基盤となるインフラを提供するサービスです。情報システムの仮想サーバーなどが該当し、代表的なサービスには「AWS」「Google Cloud」「Microsoft Azure」などがあります。
クラウドセキュリティ対策は、サービスモデルごとに責任分界点が異なります。責任分界点の概要とともに、SaaS・PaaS・IaaSそれぞれの責任分界点について解説します。
責任分界点とは、ユーザーとサービス事業者(ベンダー)のそれぞれがクラウド基盤のどこまでの責任を負うかを定めた基準や境界を指します。SaaS・PaaS・IaaSそれぞれによって一般的な責任分界点は異なり、さらに実際の責任分界点はサービス提供元によっても異なります。
詳細な責任分界点については、採用したパブリッククラウドのサービス規約などを必要に応じて確認するようにしましょう。
SaaSでは、ユーザーはクラウド上に用意されているアプリケーションを利用するのみのため、ユーザーの責任範囲は基本的にアプリケーション上での設定内容や生成した情報、データなどです。クラウド事業者側は、仮想化基盤や物理基盤といったインフラ基盤から、動作しているOS、ミドルウェア、アプリケーションまでのすべての層が責任範囲となります。
IaaS、PaaSと比較するとSaaSにおけるユーザーの責任範囲はもっとも小さくなる一方、カスタマイズなどの自由度や柔軟性も小さくなります。
PaaSでは、ユーザーはSaaS同様にアプリケーション上での設定内容や生成したデータに加えて、自社で開発するアプリケーションを管理します。クラウド事業者が管理するのは、データやアプリケーション以外のインフラ部分に加えOS、ネットワークの設定、ミドルウェアなどです。PaaSにおけるユーザーの責任範囲は、laasよりも小さくなります。
IaaSにおけるユーザーの責任範囲はOS、ミドルウェア、アプリケーションといった仮想サーバーのOSより上の領域が該当します。クラウド事業者の責任範囲は、ハードウェアやインフラ基盤などです。
IaaSは他のクラウドモデルと比較すると柔軟なシステム開発が実現できる一方、仮想サーバーの上で動作しているOSを含めた広範囲をユーザーの責任で管理しなければいけません。
クラウドセキュリティ対策を行わないことで発生する重大インシデントやリスクは、大きく分けて5つあります。クラウドセキュリティ対策を検討する上で知っておくべき、5つの重大なリスクと発生する可能性のある被害、国内外での被害発生事例について解説します。
不正アクセスとは、悪意ある第三者または内部の従業員が詐欺行為などに使用する個人情報や機密情報を盗み取ることを目的に、不正にサーバーや情報システムにログインし、侵入する行為のことです。不正アクセスによって、情報漏洩による企業の重要データ流出、データの改ざん、システムの破壊によるサーバーの停止などの被害につながります。
実例としては、とあるメーカーの部品調達部門が部品の受発注システムへの不正アクセスを受けたことで、社内外のシステムとの接続を切断しなければいけなくなり、業務が一時停止してしまった被害事例があります。
サイバー攻撃とは、悪意のある第三者からインターネットなどのネットワークを介して、サーバー、パソコン、スマートフォンなどの情報端末への攻撃を受けることです。サイバー攻撃には、以下のような手口があります。
・悪意のあるソフトウェアを使用しコンピュータ、ネットワークまたはデバイスに不正アクセスや損害を与える「マルウェア」
・暗号化し利用できなくしたファイルを元に戻すことを引き換えに金銭を要求する「ランサムウェア」
・メールやSMSを通じて偽装されたURLへ誘導し、個人情報や機密情報を盗み出す「フィッシング詐欺」
・複数の端末から意図的に大量のパケットを送信し、攻撃対象のサーバーやネットワークに対して膨大な負荷をかけダウンさせる「DDoS攻撃」
・情報窃取や事業の妨害を目的に、特定の業界、会社、個人などをターゲットとした攻撃手法をとる「標的型攻撃」
サイバー攻撃による被害には、顧客情報の漏洩、機密情報に対しての身代金要求、システムの破壊、データの改ざん、システムの機能停止などが想定されます。
サイバー攻撃被害の実例としては、とある企業の従業員の電子メールアドレスに、知人からと偽装されたマルウェア付きのメールが届き、業務用パソコンで開封後にマルウェアに感染して企業の情報が外部へ送信され、情報漏洩が発生した、という事例があります。
情報漏洩とは、個人や企業で保有している情報が外部に流出する事態のことです。個人情報や経営戦略、資産状況といった重要な情報が外部へ流出した場合、企業の信用失墜につながり、営業停止や損害賠償支払いなどの経済的・金銭的な損失が発生する可能性があります。
情報漏洩の事例としては、会社のホームページ上で資料請求目的で顧客から登録された完全にプライバシーな情報が、Webサーバー上の設定ミスが原因で流出したといったケースや、パブリックアクセスができる状態のストレージに機密情報を格納してしまい、無自覚にWebに機密情報を公開したことで情報漏洩を起こしてしまったケースがあります。
情報漏洩はサイバー攻撃や標的型攻撃と言った外部の第三者からの攻撃だけでなく、社内での設定ミスなども発生する原因となります。
データ消失とは、サーバー障害や故障、ハードウェアの故障、自然災害、人的ミスなどにより自社で保管していたデータを失ってしまう事態のことです。利用中のクラウドサービスがサーバー障害により接続できなくなり、クラウド上に保存していたデータが消失してしまうなどのケースがあります。
シャドーITとは、従業員が企業側の許可を得ずに独自に持ち込んだスマートフォンやタブレットなどの端末、あるいはクラウドサービスなどのことです。個人が勝手に導入し使用しているもののため、企業の情報システム部門などが利用の実態を把握しておらず、最新のアップデートがされていないなど管理がずさんである場合も多いでしょう。そのため、シャドーITとなっている機器やサービスに脆弱性があった場合、セキュリティ上のリスク発生の危険性が大変高くなります。
各セキュリティリスクを未然に防ぐための具体的な対策方法については、後ほど詳しく解説します。
クラウドサービスの拡大にともない、クラウド上で発生する重大インシデントも増えています。企業側のクラウドサービスの適切な利用とクラウドセキュリティ対策支援のために、経済産業省 商務情報政策局情報セキュリティ政策室による「クラウドセキュリティガイドライン活用ガイドブック」や、独立行政法人情報処理推進機構(IPA)セキュリティセンターいよる「中小企業のためのクラウドサービス安全利用の手引き」なども公開されています。
今後自社でのクラウドセキュリティ対策に役立つ、2つのガイドラインの概要や重要なポイントについて解説します。
経済産業省では2010年4月1日に、クラウドサービスの利用促進と利用者が安心・安全にクラウドサービスを利用することを目的に「クラウドセキュリティガイドライン」を公表しました。同商務情報政策局情報セキュリティ政策室では、その活用ガイドブックも提供しています。
ガイドブックでは、クラウドサービス拡大によるセキュリティリスク増加の懸念と実際にあった障害や攻撃件数の紹介からはじまり、クラウドの分類や概要、クラウドサービス利用時の課題などを解説し、クラウドセキュリティの重要性やセキュリティガバナンスとサプライチェーンの関係性、具体的なリスクの分散方法や対策手法について明記しています。
クラウドセキュリティガイドラインは、2015年にISO/IEC 27017を取得、マネジメントシステムの標準としてISO/IEC 27001(JIS Q 27001)、管理作業の標準としてISO/IEC 27017の選択と、国際標準としての策定が進められています。
情報処理推進機構(IPA)は、「中小企業のためのクラウドサービス安全利用の手引き」としてクラウドサービスの利用を検討している中小企業向けの解説や概要を記載しています。クラウドの基本知識からはじまり、クラウドを導入するメリット、注意点、クラウドサービスベンダーの選び方が解説されているほか、サービス事業者の選定時に活用できるクラウドサービス安全利用チェックシートも公開しています。
クラウドセキュリティ対策については、クラウドサービス導入後の管理のポイントとともに具体的な対策方法の流れについて解説されています。また、中小企業の経営者や実務担当者の情報セキュリティ対策の必要性や、理解促進し情報を安全に管理するための具体的な手順を示した「中小企業の情報セキュリティ対策ガイドライン」も紹介されています。
クラウドセキュリティ対策を行う重要性は理解しつつも「具体的にはどのような対策を行うべきか分からない」と考えている担当者や事業者の方も多いかもしれません。次に、リスク回避に有効な、基本的なクラウドセキュリティ対策方法を解説します。
クラウドへ通信接続するパソコンだけでなく、スマートフォン、タブレットといったすべての端末は、セキュアなOSやアプリケーションのみで運用するようにしましょう。OSやアプリケーションに脆弱性があると、悪意のある攻撃を受けて情報漏洩が発生するリスクがあります。
クラウドサービス利用開始時はもちろんのこと、運用開始後も以下のような方法で定期的にOSやアプリケーションの状態をチェックするための体制を整えましょう。
・最新版へのアップデート
・ウイルススキャンの導入
・多要素認証の導入
・セキュリティ対策が実施されているVPN回線の利用
・セキュリティサービスの導入
情報システムやネットワーク、ソフトウェアに存在するセキュリティの欠陥や弱点である脆弱性を探すことができ、発見・特定できる仕組みを構築しておきましょう。脆弱性を検知できれば、不正アクセスや情報漏洩のリスクへの有効な対策になります。
脆弱性検知の方法として代表的なのが、ネットワークやOS、アプリケーションなどを対象に行う「脆弱性診断」です。クラウドサービス提供者側で提供されている、独自の脆弱性診断サービスも存在します。
IDやパスワードの流出は不正アクセス発生の原因となります。以下のような方法で、IDやパスワードについてはクラウドサービスを利用する社員全員が徹底して管理するようにしましょう。
・IDやパスワードが書かれた資料を机の上などに放置しない
・退職者のIDやパスワードはすぐに削除する
・業務委託者はID設定や権限付与を制限する
外部への共有、公開関連の設定、アクセス制御といったクラウドサービス上でのセキュリティ設定は、適切かどうかを定期的に確認するようにしましょう。セキュリティ設定がデフォルトのままであったり、設定の内容や意味を理解していなかったりすると、機密情報を意図せず外部へ公開してしまうなどの情報漏洩のリスクが高くなります。
アクセス履歴を保存できる監視ログ機能を搭載しているクラウドサービスなら、万が一情報漏洩などのインシデントが発生した場合、アクセス元の特定につなげられます。定期的に監視ログを確認しておけば、外部からアクセスされた痕跡があった際にセキュリティ強度を高めたり、一時的にサーバーを遮断したりといった、攻撃を未然に防ぐための手段も講じられるでしょう。
情報セキュリティの観点では、以下のような要素で情報の重要度を分類できます。
・情報漏洩が発生した場合の影響度である「機密性」
・情報の改ざんが行われた場合の影響度である「完全性」
・情報が利用できない場合の影響度である「可用性」
情報を重要度のレベルで分別した上で、各情報の取り扱い方法、保管方法、情報漏洩への対策方法を決めましょう。情報が大量にあっても、重要度別に管理することで各情報に対する有効な対策をスピーディに講じられます。特に重要度の高い情報には、厳重なセキュリティ対策が必須です。
データのバックアップとは、デバイスの内部にある保存データを、クラウドストレージや外付けHDDなどの外部機器にコピーし、保存することです。重要なデータは定期的にバックアップを行うことで、サーバー障害や自然災害など万が一の事態によるデータ消失のリスクへの備えになります。
バックアップには、以下の種類があります。
・すべてのデータをバックアップする「フルバックアップ」
・フルバックアップしたデータの変更 / 追加分をバックアップする「差分バックアップ」
・前回のバックアップデータからの変更 / 追加分をバックアップする「増分バックアップ」
それぞれのバックアップ方法により、バックアップする時間や必要な容量、リストアの手間や影響が異なります。適切な方法により必要なデータを確保し、不測の事態に備えましょう。
セキュリティ対策は、組織全体での対策のほか、実際にクラウド経由で業務にあたる従業員それぞれが高い意識を持つことも重要です。以下のような手法で、社内でのITやサイバーセキュリティに関する教育を徹底しましょう。
・入社時にセキュリティに関する研修を実施する
・社員向けの講習会やセミナーを開催する
・実際の業務で発生する事例、競合他社の事例などのコンテンツを提供する
・実務上のシステムやツールを用いたシミュレーションを導入する
過去のインシデント発生事例の紹介や、現場環境に近い状態での訓練を行うことで、実際の業務上でのリスクをイメージしやすくなり、社員全体のリスク管理やセキュリティ意識の向上が期待できるでしょう。一度きりではなく、継続・反復して社員への訓練を実施することで、意識の定着につながります。
クラウドサービスは、インターネットを経由して利用します。万が一ネットワーク上に悪意をもった第三者が存在していた場合、クラウドサービスを利用している途中に重要な情報を窃取されてしまうかもしれません。
情報を守るために有効なのが、通信データの暗号化です。通信データの暗号化とは、元のデータを第三者が読み取れない形式へ変換する手法を指します。暗号化されたデータは、適切な鍵をもつ権限者のみが元のデータに復号可能です。
データを暗号化することで、万が一内容を盗み見ようとする第三者がいても解読ができません。データの機密性が保護されるため、不正アクセスや情報漏洩のリスクを未然に防げます。
クラウドサービス選定時は、セキュリティリスク対策を十分に行っている提供事業者を選ぶようにしましょう。具体的に実施しているセキュリティリスク対策については、契約内容などで確認できます。
なお、クラウドサービス事業者選定の評価基準として参考になるさまざまな制度や、事業者選定時のセキュリティ対策でのチェックポイントは、後ほど詳しく紹介します。
特に大規模なクラウドを展開しているクラウドサービス事業者は、世界中にデータセンターを設けています。データ消失や情報漏洩などの万が一の事態のために、事前にデータの管理場所は確認するようにしましょう。
海外にデータセンターを設けているクラウドサービスを利用する場合、情報が犯罪に使われたなどの状況によって、データセンターがある国の法律によりデータベースが差し押さえとなってしまう可能性があるためです。海外諸国の法律による制限を受けるリスクを防ぐためには、できれば国内でデータを保管しているクラウドサービスをパートナーとして選ぶと良いでしょう。
クラウドサービスを利用するにあたり、自社側ですべての面のセキュリティを担保することは事実上不可能と言えます。そのため、クラウドサービス側が通過しているセキュリティ評価や認証を確認し、セキュリティ対策のレベルを事前にチェックしておくことも重要です。
以下では、クラウドサービス側のセキュリティ評価に役立つ、代表的な評価制度や認証制度について解説します。
ISMSクラウドセキュリティ認証とは、一般社団法人情報マネジメントシステム認定センターにより通常のISMS (ISO/IEC 27001)認証に加えてクラウドサービス固有の管理策
(ISO/IEC 27017)が適切に導入、実施されていることを認証するものです。
クラウド情報セキュリティ監査制度とは、JASA(特定非営利活動法人日本セキュリティ検査協会)によってクラウドサービス事業者の情報セキュリティ対策実施状況を監査した結果として、安全性が確保されていることを公開する制度です。安全性の確保が認められたクラウドサービス事業者は、後に解説するCSマークの表示許諾を通じて利用者にクラウドの安全性を提示できます。
ASP・SaaS情報開示認定制度とは、ASPICによりASP・SaaSの各クラウドサービスが、総務省の「クラウドサービスの安全・信頼性に係る情報開示指針」に基づく適切な情報開示を行っていることを認定する制度です。
CSマークはJASA(特定非営利活動法人日本セキュリティ検査協会)が認定する、日本を対象としたセキュリティ基準です。セキュリティの目的やレベルに応じて、ゴールドとシルバーの2種類の認証基準どちらの監査を受けるかを選択できます。
CSASTAR認証のCSAとは「Cloud Security Alliance」の略称で、CSAによるクラウドセキュリティを確保するためのセキュリティ成熟度を測る認証制度です。全世界のサービスが対象で、自己認証や第三者認証など3段階の認証が存在しています。
StarAudit Certificationとは、ヨーロッパを含む全世界が対象となるセキュリティ基準です。クラウドを6つの項目でカテゴリ分けし、さらに各項目を星3つ~5つで評価します。認定は一部の項目のみでも受けられるため、スタートアップ企業や中小企業も認証を受けやすいというメリットがあります。
FedRAMPとは、アメリカを対象としたセキュリティ基準であり、米国政府機関が採用するクラウドサービスに関する共通認証制度プログラムです。3つのセキュリティレベルが存在し、1年単位での審査や、月次でのセキュリティモニタリングの報告が求められます。
プライバシーマークとは、JIPDECにより「個人情報を適切に管理している」と評価された事業者が使用できるマークのことです。個人情報保護の意識向上の観点から、2025年5月現在、約17,700社以上の事業者がプライバシーマークを取得しています。
ISMAP(政府情報システムのためのセキュリティ評価制度)とは、政府のセキュリティ水準の確保を目的に、政府が求めるセキュリティ要求に合致するクラウドサービスをあらかじめ評価し、登録する制度です。ISMAPの公式サイト内で登録されているクラウドサービスを検索できるため、セキュリティレベルの高いクラウドサービスの円滑な確認・導入につながります。
クラウドサービスの仕様面をチェックする際には、自社でやりたいことを実現できる機能が搭載されているかだけでなく、セキュリティ観点での仕様も確認することが重要です。強固なセキュリティ対策を行ってるクラウドサービス選びに役立つ、チェックポイントを解説します。
多要素認証とは、認証の3要素(知識情報、所持情報、生体情報)のうち、少なくとも2つ以上を組み合わせた認証方法です。クラウド上の情報を守るためには、パスワードやPINコードといった知識情報だけでは限界があります。スマートフォンやICカードなどのデバイスによる所持情報や、指紋や整脈などの生体情報を組み合わせた多要素認証を導入しているクラウドサービスなら、より強固なセキュリティでアカウントや情報のハッキングを防ぐことができるでしょう。
クラウド上の情報の窃取を防ぐには暗号化が有効ですが、暗号化には一般的に以下3つの範囲があります。
・安静時:データベースまたはディスクに格納されたデータ
・輸送中:コンピューター間 (物理または仮想) で送信されるデータ
・使用中:アプリケーションによってアクティブに処理されているデータ
たとえば安静時のデータのみの暗号化の場合、輸送中データや使用中データは暗号化されず、窃取されてしまうリスクがあります。クラウドサービスによっては標準、またはオプションで暗号化の範囲を広げることができるものもあるため、暗号化が対応する範囲についても確認しておきましょう。
多くのクラウドサービスにはバックアップ機能が搭載されていますが、バックアップの頻度や設定についてはサービスによって異なるため、確認をしておきましょう。
たとえば日時を指定しての自動バックアップ機能や、ローカル環境へ定期的にバックアップをダウンロードできる機能などが搭載されているサービスもあります。
主なアクセスログで取得できる主な項目には、以下のものがあります。
・日時と時間
・IPアドレスまたはホスト名
・ユーザーIDまたはセッションID
・リクエストの詳細
・閲覧ブラウザやアクセスしたデバイスの情報
アクセスログの監視・取得機能が搭載されているクラウドサービスは、取得できる具体的な項目についても確認しておきましょう。
クラウドサービス上でのセキュリティ対策が行われる一方で、不正アクセスの手法も巧妙化しています。従来のセキュリティ対策では突破されてしまうこともあるでしょう。クラウドサービス側が常に最新の不正アクセスへ対応できるかどうか、対策状況についてもしっかりとチェックを行うことが重要です。
クラウドを利用する場合、基本的にハードウェアやインフラなどの責任はクラウドサービス提供事業者側にあります。十分なハードウェアやインフラの障害対策が行われていない場合、サーバーダウンなどによりクラウドが利用できず業務が停止してしまうリスクがあります。
クラウドサービスが行っているハードウェアやインフラの障害対策状況や、万が一障害が発生した場合の対応方法についても、しっかり確認しておきましょう。
利用するクラウドの形態によって、OSやアプリケーションなどがクラウドサービス事業者の責任範囲となります。自社で責任を負う範囲以外の責任分界点において、脆弱性の判定や対策を十分に行っているクラウドサービス事業者を選びましょう。たとえば常に最新のパッチ採用やアップデートを行っているクラウドサービスを選べば、脆弱性をついた不正アクセスやサイバー攻撃を未然に防げます。
クラウドネットワーク上は強固なセキュリティ対策が行われていたとしても、データを保管・管理しているデータセンター側が物理的な攻撃を受けた場合、データ消失や情報漏洩といったリスクが生じてしまいます。
セキュリティゲートや監視カメラといったデータセンター側での防犯対策、火災・地震・洪水などの災害への対策が講じられているかどうかも確認しておきましょう。
クラウドを経由したリスクやインシデントを防止する上では、従業員一人ひとりの意識を向上させるクラウドセキュリティ教育も重要です。ただし、社内で専門知識を持った講師要員がいない場合や、全社員に教育を実施するのが難しい場合もあるでしょう。
社内のクラウドセキュリティ教育・意識の徹底を効率的に実施できる手法に「eラーニング」があります。
eラーニングとは「パソコンやインターネットと言った情報技術によるコミュニケーション・ネットワーク等を活用した主体的な学習」と定義されています。オンラインによる一斉型の教育ができることや、対面型の講義よりも時間や場所の制約を受けにくいことで、さまざまな分野の学習や教育に導入されている手法です。
代表的なクラウドセキュリティ関連のeラーニングを、以下の一覧にまとめました。
・東芝グループが従業員向けに実施している「サプライチェーンセキュリティ教育」、「製品セキュリティライフサイクル基礎」、「セキュアコーディング」の3つのe-ラーニングを受講できる「eラーニング クラウドサービス Generalist/LW」
・クラウドセキュリティの基本と対策方法を学べるi-learningの「クラウドセキュリティの基礎オンラインクラス」
・GSXのセキュリティコンサルタントが監修した、クラウド型情報セキュリティeラーニング「Mina Secure」
クラウドサービスの導入、既存オンプレミスのクラウド置き換えなどを企業DXの一環として挙げ、推し進めている企業も増えています。ただし企業DX推進時、効率化やスピード感のみを重視してしまうとセキュリティ面がおろそかになってしまうかもしれません。セキュリティを担保しながら企業DXを推進するには、専門家による伴走支援がおすすめです。
電通総研では、非IT要員による業務アプリ開発(市民開発)導入を検討されているお客様を支援する「Power Platform 市民開発支援サービス」を提供しています。市民開発支援ソリューションは、以下のように多くの企業DX推進時の導入事例があります。
・お客様固有の変動要素を踏まえ、市民開発・内製化ルール策定を支援。無秩序な開発状態の防止のほか、技術サポートを受けることでユーザ自らが開発スキル向上につなげられた
・DX推進のための市民開発立ち上げ時、ルール策定とPoC (概念実証)のスコープを定め、お客様と伴走。全社レベルの市民開発活動を自社のセキュリティ規定や内部統制規定に即した形で推進、統制するためのルールや運用づくり、および組織体制の構築につながった
電通総研では、2025年よりSalesforce向けクラウドセキュリティ新商品「WithSecure™ Cloud Protection for Salesforce (CPSF)」をリリースします。
企業DXの一貫で様々なクラウドサービスの導入を検討する際には、リスクやインシデントを未然に防げる高度なセキュリティ環境が必要です。多様なクラウドサービスがある中でも、Salesforceは国内外で利用者が多く、CRM、SFAやマーケティングオートメーションなど様々な機能を既に活用しているというケースが多いことでしょう。Salesforceではツールの性質上、顧客情報や取引の詳細といった重要な情報を取り扱うことになるため、運用において強固なセキュリティを担保しておくことが、企業のコンプライアンス維持につながります。
「WithSecure™ Cloud Protection for Salesforce (CPSF)」を導入すれば、Salesforceへアップロードされるすべてのファイルにスキャンをかけてサイバー脅威を未然に検知したり、リアルタイムな監視を行ったりというリスク対策が容易となります。
クラウドセキュリティ対策に対するお悩みや疑問点については、ぜひお気軽にご相談ください。
クラウドセキュリティ対策において知っておくべきクラウドサービスの基本知識をはじめ、セキュリティ対策を行わないことで発生する可能性のあるリスクや、具体的なセキュリティ対策、クラウドサービス選定時のチェックポイントなどについて解説しました。
企業DXの一環でクラウド導入を検討する場合、機能面や仕様、費用だけでなくセキュリティ対策が十分かどうかもしっかり確認することが重要です。大切な機密情報を守りつつ業務効率化や生産性向上などの効果を最大化できるクラウドサービス選びにつなげましょう。
「WithSecure™ Cloud Protection for Salesforce (CPSF)」やクラウドセキュリティ対策に関してはこちらより、お気軽にお問合せください。
また、当サイトでは、顧客接点DXソリューションに関するダウンロード資料を多数ご用意しております。ぜひダウンロードいただき、資料をご活用ください。
2025年07月29日
コールセンター向け音声認識で業務革新を実現 ─ AI時代の品質向上と顧客体験の最適化(Vol.125)
2025年07月23日
Salesforce Experience Cloudライセンス選定ガイド (Vol.124)
2025年07月15日
カスタマーサクセスと営業の違いとは?連携メリットもを徹底解説(Vol.123)
2025年07月02日
「2025年の崖」を越える鍵は市民開発とローコードにあった! (Vol.122)
2025年06月19日
コールセンターの立ち上げ方とは? システムや人材の構築プロセス、手順、具体的な費用、注意点を解説(Vol.121)
2025年06月11日
CRM施策の基本が全部わかるーメリット・施策・活用手順・成功事例まで(Vol.120)
全社的なDX推進や顧客接点の最適化、エンゲージメントの強化などお困りごとやお悩みがございましたら、お気軽にお問い合わせください。
