クラウドのデータの保護とセキュリティ

クラウドの活用でストレージ容量が大幅に拡大し、リアルタイムのコラボレーションが実現できるようになりますが、反面で、クラウド特有のセキュリティリスクも増大します。自社のビジネスを守るためには、ユーザー情報、財務情報、競合他社の戦略、その他の機密情報など、クラウド上のデータの保護が最も重要な施策の一つとなります。また、ユーザーデータの保護に関しては法的義務も伴います。

クラウドのデータ保護方法やクラウドセキュリティのヒント、ベストプラクティスに従うことで、企業と社内ユーザーの双方のデータを適切に保護できるようになります。

クラウドのセキュリティリスク

デジタル化が進む今日、データが危険に晒される可能性にはさまざまなものがありますが、クラウドのセキュリティリスクで最も一般的なものには以下があります。

• フィッシング
• 脆弱なパスワード
• アプリケーションの脆弱性
• 内部者脅威
• ユーザーのミス

ベストプラクティスが全社で一貫して実装されていることを確認するためには、クラウドセキュリティポリシーの見直しを行い、クラウドセキュリティ面で成功している箇所、改善の余地がある箇所を社内で特定しましょう。データセキュリティ担当者として取り組みを主導するメンバーに限らず、すべてのチームメンバーがデータの安全性を保つことの重要性を認識する必要があります。

クラウドデータ保護のベストプラクティス

クラウドデータ保護のベストプラクティスを遵守することで、リスクを大きく低減することができます。データの可視化から2要素認証やファイルレベルの暗号化の使用に至るまで、組織のデータセキュリティを向上させる方法にはさまざまなものがあります。

データを把握し、可視化する

優れたクラウドセキュリティポリシーを策定するには、まず対象となるデータを知り、可視化することが大切です。クラウドプロバイダーのデータ保管・管理方法を知らずに自社にとって有効なポリシーを導入することはできません。現在利用中、または利用を検討しているクラウドプロバイダーについて、以下の4つの要素を検討してみましょう。

• データのセキュリティ : 自社データの保護のために実施されているシステム
• データの場所 : クラウドプロバイダーのサーバーの所在地、ユーザーの勤務場所、データの転送方法 (遵守が必要なデータ保護法や規制の特定に影響)
• データの監視: 侵入検知、セキュリティ監査や報告を含むデータの監視方法
• データの制御 : クラウドプロバイダーの従業員や請負業者のうち自社のデータにアクセス可能な者

データの保管場所、監視、管理や保護の方法を把握できたら、その情報を元に一歩進めて技術システムを可視化することができます。

Lucidchart なら、データフローマップを作成して上述のデータのセキュリティ、場所、監視、制御の4つの領域をデータがどう流れるかを完全に理解できます。データフローマップは、技術部門と非技術部門のメンバーがクラウドでのデータの保存・管理方法を確認するのに役立ちます。

適切なクラウドプロバイダーを選択する

厳格なセキュリティ基準を遵守しているクラウドプロバイダーを選択することで、クラウドのセキュリティ確保のための施策の一部 (データ保護法規制への準拠など) をアウトソースすることができます。評価対象のクラウドプロバイダー別にデータフローマップを作成し、さらにさまざまなプロバイダーのレビューを確認してどんな特徴があるのかを確かめましょう。対象分野に詳しいアドバイザーの意見も参考になります。

あらゆるタイプの組織に適した万能クラウドプロバイダーは存在しません。自社のニーズに合ったプロバイダーを見つけることが大切です。

規制要件を念頭に置く

自社に適したクラウドプロバイダーの選択肢が数社見つかったら、自社のビジネスに関連する業界、ユーザーや国の規制面での要件を検討します。ビジネスとして準拠すべきセキュリティ要件をすべて満たすクラウドプロバイダーを選びましょう。

ファイルレベルの暗号化を実装する

ファイルレベルの暗号化とは、暗号化をさらに進めてデータをファイルレベルで暗号化することで、どの端末からアクセスしても、権限がない人にはファイルが読めないようにするものです。クラウドにアップロードする前にファイルやファイルシステムを暗号化する必要があります。

ファイル暗号化ツールやサービスにはさまざまなものがありますが、使用する前にその信頼性を確かめるようにしましょう。

ユーザーのデバイスを保護する

スタンフォード大学と Tessian が行った調査によると、データ漏洩の88%は人為的なミスが原因となっています。つまり、クラウドプロバイダーに優れたセキュリティ機能があっても、エンドユーザー向けの明確なセキュリティポリシーがなければ、従業員のミスで企業のデータが漏洩する可能性は避けられないのです。

社内の全員が遵守できるよう、データにアクセス可能な人や場所、アクセスの監視方法などに関するルールやポリシーを明確に定義した上で、そのルールやポリシーをチームメンバーに的確に周知することが大切です。上述のデータフローマップを活用することもできます。

パスワードのベストプラクティスに従う

クラウド上のデータを保護するには、強力なパスワードの使用を全社で奨励することが重要です。

米国標準技術研究所 (NIST) の2021年のパスワードガイドラインには、以下のような要件が含まれています。

• 長さは8～64文字
• スペースや ASCII 文字の使用も可
• よく使われ、危険とされているパスワードのリストに入っていない

漏洩しやすいパスワードには以下のようなものがあります。

• 辞書に載っている単語
• 過去に漏洩したパスワード
• 繰り返しや連続文字の使用
• ユーザー名や会社名などコンテキストに応じたパスワード

NIST では LastPass や Bitwarden などのパスワードマネージャーの使用も認めています。

2要素認証を使用する

2要素認証では、ユーザーが情報にアクセスする際に2つの ID を要求することでセキュリティを強化します。こうした ID は、一般に以下を組み合わせたものになります。

1. そのユーザーが知っていること
2. そのユーザーが持っているものや属性に関すること

「そのユーザーが知っていること」とはつまりパスワードで、ここから認証が始まります。パスワードを入力すると、次の認証が「持っているもの (他のデバイスに送信されたコードなど)」や「属性に関すること (指紋や顔のスキャンなど)」を使って行われます。

機密データへのアクセスにこうした2つのハードルのクリアを要求することで、パスワードを単独で使用するよりもセキュリティを高められます。

データ転送を保護する

クラウド上のデータは、保管時だけでなく、転送時にも保護が必要です。暗号化、SSL や安全なメールツールなどを導入することで、共有されるデータを保護することができます。

また、ユーザーへのアクセスの付与や取り消しなどを行える権限管理機能を備えたアプリケーションも多数あります。社内での権限付与状況を確認し、それに合わせて設定するようにしましょう。

データをバックアップする

最後になりましたが、セキュリティ侵害があってもデータが失われないようにするには、データを複数の場所に保存することも大切です。データのバックアップの有無がセキュリティ侵害後にも業務を継続できるかどうかの分かれ目となります。

この場合、バックアップ拠点のセキュリティも主拠点と同程度に厳格なものとするようにしましょう。バックアップデータが新たなセキュリティリスクになるようなことは避けたいものです。

クラウド上のデータの保護には手間がかかりますが、この記事で紹介したクラウドセキュリティのヒントを実践することで管理がスムーズになります。今回は注意すべきベストプラクティスをいくつか紹介しましたが、クラウドセキュリティやデータ保護にはこれ以外にもさまざまな分野が存在します。組織やユーザーのデータを安全に保つため、念には念を入れた対策を講じましょう。