Avatar

クラウドの情報セキュリティ: 2015 年に効果的な最新アプローチとは

By: AvePoint

クラウドの情報セキュリティ

クラウドファーストの加速に伴い、情報セキュリティが懸念に

2014 年は、対組織・企業と対個人の両面からクラウドが話題となるとともに、利用の機会が一段と増加した年でした。個人用の iCloud から組織・企業向けの Office 365 まで、クラウドが後押しするオンライン データ ストレージやオンライン コラボレーション プラットフォームへの移行の流れは、加速度的に強まりつつあります。プライベートおよびハイブリッド型を含むクラウド市場は、2015 年 には 1180億ドルを上回り、2018 年には 2 千億ドルに達するという予測もあります (IDC 調べ)。

しかし、市場や利用の機会が拡大すれば、リスクもまた拡大します。2014 年に発生したクラウド関連の情報流出事件・事故を少し振り返ってみるだけでも、情報セキュリティに関連する事故が一度起きれば、ブランド名へのダメージはもちろんのこと、組織・企業の経営を根幹から揺るがしかねない大規模な被害をもたらす事態にまで発展することも考えられます。

クラウドの情報セキュリティといえば、例えば業者への攻撃など 「外部からの脅威」 が注目されがちですが、「内部からの脅威」 もまた、しっかりとした対策を考える必要のある要素です。例えば、クラウドの導入によってモバイル機器の可用性が向上し、その結果場所を選ばずにコラボレーションが実行できるようになるのは喜ばしいことです。反面、会社外部で機器の紛失が発生した場合、悪意ある第三者の手にモバイルが渡ってしまえば、重要情報に簡単にアクセスされてしまう危険性も上昇します。情報へのアクセス ルートが多様化するクラウドでは、情報セキュリティも多方面から考える必要があります。

クラウドにある機密データを守るためのポイント

以下は、クラウド サービスを利用する際の情報セキュリティ対策として、起こりうる脅威から機密データを守るための 4 つのポイントです。
——————————————————————————————————————-

  1. ジャスト・イン・タイム アクセス: アクセスを必要に応じて、かつ 1 回のみ有効な方法で提供する方法です。ユーザーは、事前に定義された期間の経過後、アクセス権を喪失します。例えばアルバイトや派遣社員など、一定の期間のみ権限を付与したいメンバーが存在する場合に効果を発揮します。
  2. 追跡可能性: 不透明性の解消のため、ログの情報から取得した操作・ファイルの移動・プロセス アクティビティなどのイベントを時系列的に再現・表示します。イベントの他にも、認証システムや機器管理システムなど、関連するシステムの情報も表示可能です。これは、従来は電子透かし技術や監査、記録管理などにより実行されてきたものです。
  3. 脱中央化: ネットワークを再編成し、ローカル コントロールおよびサービスの実行を向上させることにより、速度と柔軟性を高めます。複数のレポジトリに分散させてデータを配置することにより、万が一のデータ流出の際にも 「すべてを失う」 事態は回避できます。
  4. 「表玄関」: 組織を、データが暮らしている 1 軒の家として考えてみましょう。最もよく使われる出入口は表玄関です。そして表玄関には、きちんとした鍵が必要です。つまり、過失によるデータ流出 (ユーザーに必要以上のアクセス権を付与してしまった、パスワードを誰にでもアクセスできる場所に置いてしまった、単純すぎるパスワードを使ってしまった、など) やソーシャル エンジニアリング、パスワード リセット機能の濫用などの発生を防止するための対策が必要である、ということです。パスワードの強度や、どのような場所に保存しておくべきかなど、情報セキュリティに関するベスト プラクティスを従業員に紹介するトレーニングの実践も有効です。

——————————————————————————————————————-

Microsoft の総合型情報共有クラウド サービス Office 365 の法人向けサービスが日本国内から提供されるようになるなど、プラットフォーム提供各社は、より便利で信頼性の高いクラウド サービスの構築に向けた取り組みを本格化させています。

しかし、どんなに堅牢なクラウド システムも、利用者側の情報セキュリティ対策がおそろかになったまま使用しては意味がありません。自組織がどのように情報の安全性を確保するか、自組織のニーズや使用状況、業界の規制なども視野に入れつつ、しっかりとした見取り図を描くことが重要です。

AvePoint では、安全でスムーズなクラウド移行、移行後のOffice 365 運用管理、ユーザー利活用の促進、Office 365 情報セキュリティの強化などのサービスを行っております。詳細は 弊社ウェブサイト をご覧ください。

Office 365 – SharePoint Online 導入・利活用促進セミナー開催

Office 365 – SharePoint Online の導入をご検討中ですか?日本マイクロソフト様との共催セミナー(4/27 開催)「絶対に使いたくなる SharePoint Online 活用術 ~目からウロコのシナリオ紹介~ 」にお越しください。SharePoint Online 導入に向けたファーストステップ、導入時の課題傾向と対策の勘所などをお伝えします。スムーズなクラウド移行の実行、移行後の安心安全の運用管理のアプローチ、エンドユーザーの利活用促進にご関心ある方におすすめです。