在宅勤務への対応やサービス運用の手間とコストを削減する目的で、クラウドサービスの利用を検討しているユーザーは日々増え続けています。サービスの導入にあたり、心配な点として「セキュリティに不安がある」という声をよくお聞きします。今回はクラウドサービスと情報セキュリティについてご説明します。
「不安」を整理しましょう
昨今は「個人情報が流出した」、「不正アクセスで被害にあった」など様々な見出しのニュースが取り上げられ、クラウドサービスの利用に不安を感じることも多いでしょう。耳慣れない単語が並び複雑怪奇に思えるセキュリティのトラブルですが、トラブルの原因は大まかに3つの要素にわけられます。不安なニュースはどの要素に問題があって発生したのか、まずは整理してみましょう。
セキュリティのトラブルに関するニュースでまず目につく言葉は「不正アクセス」ではないでしょうか? 悪意のある第三者に「不正アクセス」されてしまうと、情報資産を閲覧されてしまい、更には「流出」を招く危険があります。
次によく聞かれるのは「通信障害」や「停止」でしょうか。必要な時に問題なく利用できる「可用性を確保する」こともまた重要です。どんなに優れた機能があったしても度々停止するようでは十分なサービスとはいえません。
そして「データの改ざん」もよく目にする見出しではないでしょうか。不正確な情報に書き換えられていない状態を確保することもまたセキュリティの観点から重要です。不正アクセスとも少し重なりますが、こちらは故意か過失かを問いません。
この 「不正アクセスの防止 = 機密性」と「安定した稼働環境=可用性」、「信頼できるデータの保持=完全性」の3要素が情報セキュリティであると定義されています。
不正アクセス
不正アクセスに対しては、情報資産が保管されているサーバの厳重に保護することで対策になるとのイメージをお持ちではないでしょうか? もちろんサーバーサイドのセキュリティ対策は大切です。
サーバーサイドのセキュリティでまず気を付けるべき点は「セキュリティホール=脆弱性」です。ソフトウェアでは日々新たな脆弱性が見つかっています。見つかった脆弱性はセキュリティパッチなどによって速やかに対処する必要があります。しかしながら実際には影響範囲がわからない為に対処に及び腰になることが少なくありません。また脆弱性は一度対処しても、新しい脆弱性が見つかりますので継続して対処し続ける必要があります。
サーバへのアクセス制御を適切に行なうことも必要です。まず通信経路を必要最小限に限定し、パスワードなどにより権限をもつ者だけがアクセスできるようにします。また権限によって特定の操作を禁止したり、情報の閲覧自体を禁止したりします。
パスワード認証だけでは単純なパスワードの利用や複数のサービスでの同じパスワードの使いまわし、なりすましによる不正アクセスが懸念されるため最近ではパスワードレス認証へと変わってきています。
インターネットを介したクラウドサービスでは、通信の盗聴を防ぐために通信の暗号化も必須です。暗号化がなされていないと盗聴されるばかりでなく、情報を改ざんされてしまう懸念もあります。
DDoS保護やSQLインジェクション対策など、他にも様々な対策がありますので、常日頃 セキュリティに対して情報を集める必要があります。
ここまでクラウドサービスで必要なサーバーサイドのセキュリティについて書きましたが、サーバ側の対策と同時に、お使いのパソコンやスマートフォンに届くメールからIDとパスワードを抜き取るフィッシング詐欺など、クライアント(利用者)サイドの対策もまた必要です。「不用意にメールをクリックしない」「同じパスワードを使いまわない」などがクライアントサイドのセキュリティ対策になります。
可用性の確保
セキュリティ対策の中では可用性の確保も重要です。可用性の確保とは簡単にいってしまえば、「必要な時に動作している」ことです。クラウドサービスでは「サービス品質保証=SLA」として、一定の稼働を保証した契約を行っている場合もありますので、判断材料のひとつとして利用できます。可用性を高めるためには信頼性が高い環境でサービスを提供することです。
また障害が発生した場合に備えて、冗長性をもった構成をとっている場合もあります。冗長性とは本番環境と同じ構成をあらかじめ用意しておき、切り替えることです。AWSやAzure全体の大規模障害やネットワーク障害に備えて、複数のプラットフォーム[小井土1][o2] を活用したマルチクラウドであれば更に安心です。一方で冗長性をもった構成である場合、複数の構成を用意する必要がありますので費用がかさんでしまいます。障害時にデータはどの時点まで復旧可能なのか、復旧すべきなのかといった「目標復旧時点=RPO」と復旧までに要する時間「目標復旧時間=RTO」のバランスが重要です。
自社でサーバをもちシステムの運用を行なう場合には、毎日のバックアップからはじまり、ビルの電気設備点検やセキュリティパッチの適用、通信の暗号化のために必要なSSL証明書の更新など数多くのメンテナンスを定期的に実施する必要があります。
完全性
セキュリティの観点では、完全性とは情報が正確であり最新の状態であることを表します。悪意のある改ざんや人為的なミスによる誤った情報、更新を怠った古い情報を利用した場合、業務の運営に差し支えます。例えば図書室の場合では、本の置き場所の記載を間違えていたり、貸出情報を更新していないまま放置していたりすると、図書室の運営に支障をきたします。クラウドサービスやシステムをご利用であれば全員が最新の情報のアクセスできますが、Excelなどで管理した場合にはどの情報が正しいのか判別が難しくなります。クラウドサービスの場合では、アクセスログや変更履歴などの履歴を残すことが完全性を担保する重要な要素となります。
システム的な側面だけではなく、定期的な蔵書点検によるシステム内の情報と実物の付け合せ、督促状による貸出者への貸出情報の伝達、廃棄すべき本の整理なども完全性を保つ重要な要素となります。
LXのセキュリティ対策
弊社のクラウドサービス LX4.2SaaSでは以下のセキュリティ対策を行っておりますので、安心してご利用いただけます。
変更履歴と操作履歴
お客様の接続や操作内容は操作履歴として逐次記録しております。「いつ」「どのPCで」「どのような作業」を行なったかを記録していますので内部監査として、情報提供を行なうことも可能です。本の貸出返却や、本の貸出返却についてはお客様自身でデータの出力が行えますし、大切な本の情報についても変更内容の履歴を画面上で確認することができます。
セキュリティパッチの適用
OSやその他のソフトウェアのセキュリティパッチを収集し速やかに適用しております。またゼロデイ攻撃といわれる、発見されて間がなくセキュリティパッチが間に合わない脆弱性に対しての攻撃に対しても、侵入防御システム (IPS)によってサービスを保護しています。
データ流出対策
お客様よりお預かりしたデータは弊社にて閲覧することが出来ません。また機能追加や不具合の調査などでデータやサーバにアクセスする必要がある場合には特定のパソコンを経由する必要があります。特定のパソコンにはウイルス対策ソフトが設定されており、アクセスする為にはIDとパスワードだけではなく、ワンタイムパスワードを用いた二要素認証を経る必要があります。サーバへの接続には記録を残し万が一のデータ流出の調査に備えています。作業員は記録が残ることを認識しておりますので、不正行為の抑止力として働く側面もあります。
通信の暗号化
通信にはすべてTLSを用いて暗号化しています。さらにクライアントとサーバのエンドポイントにおいて独自の暗号化を行ない盗聴を防いでいます。
ストレージの暗号化
お預かりしたデータやバックアップデータはすべて暗号化して保存しております。万が一ストレージなどの記憶領域を直接参照されても中身を読み取ることは出来ません。また機器の交換などでストレージが破棄される場合や、サービスのご解約後のデータ消去についても暗号化キーがなければデータを盗み見ることは出来ません。
データのバックアップ
万が一にそなえ、99.999999999%(イレブンナイン)の耐久性を誇るAWS S3へ日次でバックアップを行なっております。また物理的に分かれているAzureストレージに対してもバックアップを行い「二重」バックアップを実施しております。バックアップデータは90日間保管しております。
サービスの動作監視
サービス常時監視体制をとっており、異常を感知した場合には、弊社技術者へ通知、状況にあわせて速やかに対処いたします。
信頼性の高いデータセンター
サービスは高い信頼性とセキュリティを有するAmazon Web Services(AWS)上にて構築しています。AWSは第三者機関による様々な認証と認定をうけており、2020年には総務省による第二期政府共通プラットフォームとしても採用されております。
データ保護国は日本国内です
サービスが稼働するのは、AWSの中でも日本国内のサーバです。お客様のセキュリティ要件により国内に限定している場合にもご利用いただけます。万が一問題が発生した場合でも、準拠法は日本準拠法、第一裁判所を東京地方裁判所または東京簡易裁判所としておりますので安心してご利用ください。
AWS では、世界中のお客様の要件を満たすために、最高のプライバシー基準とコンプライアンス認定をサポートしています。AWS は、クラウドセキュリティに関する ISO 27017、プライバシー情報管理に関する ISO 27701、 クラウドプライバシーに関する ISO 27018 など、プライバシー保証フレームワークに準拠するための国際的に認められた認証および認定を取得しています。
https://aws.amazon.com/jp/compliance/data-privacy/ より引用
サービス稼働率は99% 以上
サービス提供時間中に実際にご利用いただけない障害は、2011年のサービス提供より、データセンターの障害を含めても6回 1343分です。換算すると99.99%(フォーナイン)のサービス稼働率です。目標復旧時間も24時間に制定しております。
データチェック機能
データの完全性を保つために、様々な入力チェック機能を備えております。他にもバーコードリーダーを使って「LX 書誌入力支援サービス」を利用することにより、入力そのものを少なくできますのでミスを抑えることができます。
