キヤノンMJ/サイバーセキュリティ情報局
クラウドストレージの利用、そのメリット・デメリット、セキュリティインシデントへの対策
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「クラウドストレージを狙ったセキュリティインシデント、事例ごとの対策は?」を再編集したものです。
クラウドストレージを多くの企業が利用するようになった一方で、クラウドストレージを狙うサイバー攻撃も増加傾向にあり、過去に幾度もセキュリティインシデントが生じている。この記事では、そうしたクラウドストレージを利用するメリットとデメリット、セキュリティインシデントへの対策について解説する。
クラウドストレージとは
クラウドストレージとは、インターネット経由でアクセスできるデータセンター内のストレージにドキュメントや画像、動画をはじめ、あらゆるファイルを保存・管理できるサービスである。もともとは「オンラインストレージ」という名称で知られており、原型となるサービスはインターネットの利用者が爆発的に増加したWindows 95の登場以降、1990年代の後半に国内ポータルサイトなどで提供が開始された。当時は、画像や動画をアップロードして、ユーザー間で共有するといった個人的な利用が主だった。
しかし、クラウド黎明期と言われる2000年代の後半には、マイクロソフト社のSky Drive(現One Drive)をはじめ、DropBox、Boxなどがサービスを開始。2010年代に入ると、iCloud、Google Driveなどのサービスも開始され、利用者が急増した。現在では、コロナ禍におけるニーズの高まりもあり、群雄割拠の様相を呈している。
これらクラウドストレージサービスの多くは、単にファイルを保管するだけでなく、編集や共有も可能な点が大きな特長だ。また、ビジネスチャットやウェブメール、オンラインアプリなどとの連携も可能なものが多く、利便性が高い。コロナ禍で増加したリモートワーク需要との親和性も高く、多くの企業がクラウドストレージを利用するようになっている。
Googleドライブなどのクラウドストレージを使う際のセキュリティ対策
https://eset-info.canon-its.jp/malware_info/special/detail/200324.html
クラウドストレージの個人向け、法人向けの違い
クラウドストレージサービスの開始当初は個人での利用が主だった。しかし、各サービス事業者は、法人の利用拡大を見越してセキュリティや機能充実を図っていった。さらに、肥大化するデータ量に合わせ、ストレージを大容量化していったことで、クラウドストレージを利用する企業は年々増えることとなった。
そのため、法人向けにより機能を強化したクラウドストレージサービスを展開する事業者も数多く存在する。法人向けと個人向けのクラウドストレージサービスにおける主な違いは以下の表のとおりだ。
法人向けクラウドストレージ | 個人向けクラウドストレージ | |
アクセス権限の管理 | ファイルやユーザーごとに、きめ細かなアクセス権限の設定が可能。デフォルトで用意された中から、自社に応じた権限設定を選ぶだけといった設定の手間がかからないサービスも存在する。 | 利用するユーザー自らが管理者として、ファイルごとのアクセス権限設定が可能。一方で、ユーザーごとのアクセス権限を設定するなど、細かな設定はできないことが多い。 |
ファイル共有の柔軟性 | 個人向けの機能に加えて、セキュリティレベルが強化されている。例えば、共有状況のログを取得するといった機能が付加される場合が多い。 | 一時的、あるいは共有するユーザーを限定して、ファイル共有のための共有リンク(ダウンロードリンク)を柔軟に発行できるものが多い。 |
バージョン管理(期間) | 変更前のファイルを自動保存し、必要に応じたバージョンに戻すことが可能だ。また、管理されるバージョンも50~100世代、保存期間も半年程度と長い場合が多い。 | 複数世代の管理はできず、履歴も30日以内しか取得できないものが少なくない。また、ストレージ内のゴミ箱から戻すことしかできないサービスもある。 |
強度の高い認証 | 二段階認証や登録した機器からしかログインできないデバイス認証、社外からのアクセスを制限するIPアドレス制限などに対応する。 | IDとパスワードによるシンプルな認証が中心ながら、最近のセキュリティインシデントの頻発により、二段階認証を用意するサービスも増えている。 |
常時監視、マルウェア検知 | ファイルのアップロードを常時監視し、ファイルがマルウェアに感染していないかチェックする機能が用意されているものが少なくない。 | アップロード状況を常時監視するわけではないため、ファイルがマルウェアに感染していないかチェックする機能は用意されていないことが多い。 |
ログの保管 | 多くのサービスで従業員がいつ、どのファイルにアクセスしたかというアクセスログの取得・管理機能を備えている。 | アクセスログを取得して管理する機能は提供されていないものが多い。 |
企業がクラウドストレージを利用することのメリット
企業がクラウドストレージを利用することによる主なメリットは以下のとおりだ。
・シームレスなファイルへのアクセス
クラウドストレージに保存されたファイルは、インターネットに接続できるパソコンやスマホなどの機器からシームレスにアクセスできる。外出先で急に、ローカルに保存されていないファイルが必要になった場合でも、クラウドストレージを使っていれば容易に利用可能だ。
・社外とのスムーズなファイル共有
共有リンクをメールで送信することなどにより、社外の関係者ともスムーズにファイル共有ができる。ファイルそのものをメールに添付する必要がないため、セキュリティ的にも安心だ。
・バックアップ取得作業の効率化
企業向けのクラウドストレージでは、複数世代にわたるバージョン管理だけでなく、バックアップを自動的に取得する機能が用意されているものもあり、バックアップ取得作業の手間を省ける。
・ストレージ容量の柔軟な拡張性
ストレージ容量が足りなくなった場合、より大容量のプランを選択するだけで、すぐにストレージ容量を拡張できることもメリットのひとつだ。一時的に容量が必要になった場合でも、以降の利用で不要になった時点でプランを戻すだけでよいため、コストを最適化できる。
・BCP、災害対策
クラウドストレージのデータは強固な建物であるデータセンター内に保存されており、複数の異なる地域のデータセンターに分散保存する仕組みもあるため、災害などに強い。クラウドストレージにデータを保管するようにしておけば、災害や火災などで自社オフィスが使用できないような状況に陥っても事業継続に必要なデータを守ることができる。
・初期コストの抑制
オンプレミスでファイルサーバーを設置・管理することに比べると、初期費用や運用管理に必要なコストを抑制できる場合が多い。また、運用管理に専任の担当者を置く必要もないため、結果として人件費も抑えることができる。
クラウドストレージのデメリット
クラウドストレージの利用は企業にとってメリットが大きいものの、クラウドストレージにはデメリットも存在する。クラウドストレージの利用を検討する際は、メリットだけでなくデメリットにも目を向ける必要がある。クラウドストレージの主なデメリットは以下のとおりだ。
・インターネット接続を前提とする
クラウドストレージはその仕組み上、インターネットに接続した状態でないとアクセスができない。また、インターネットへの接続状況によってパフォーマンスが左右されることもデメリットと言えるだろう。ただし、最近ではオフラインでの作業も前提にサービスが設計されているため、同期エラーなども生じにくくなりつつある。
・利用期間、利用量に応じたコスト
クラウドストレージはオンプレミスでファイルサーバーを導入する場合に比べると、初期費用は抑えることができるものの、ストレージ容量に応じた月額コストがかかる。利用するストレージ容量が大きくなるほど、乗算的にコストがかかることになる。
・サービス事業者によるインシデント
サーバーに障害が起こった際は、クラウドストレージを提供する事業者の対応任せとならざるを得ない。自社で対応できる範囲が限られることは、一方でデメリットとも捉えられるだろう。実際、クラウドストレージサービスを提供する事業者側でセキュリティインシデントが発生するケースもある。特に、最近はクラウドストレージを狙ったサイバー攻撃も増えており、そうした攻撃を受けてクラウドストレージがダウンしてしまった事例もある。
クラウドストレージ利用時に注意すべきセキュリティリスク
クラウドストレージの利用にあたっては、以下のようなセキュリティリスクの存在を認識する必要がある。
・クレデンシャルの詐取
IDやパスワードといったクレデンシャル、すなわちアカウント情報がクロスサイトスクリプティングなどのサイバー攻撃によって詐取されるリスク。アカウントが詐取されると不正アクセスを許してしまい、情報漏えいにつながる危険性がある。
・クラウドストレージのインシデント
事業者へのサイバー攻撃、あるいは事業者における内部不正、ミスによるインシデントが致命的な結果につながるリスク。
・サーバーダウン
サービス事業者のハードウェアトラブルや人為的なミスでサーバーがダウンするリスク。その場合、復旧するまで業務再開できない恐れもあり、最悪の場合、データが消失してしまった事例もあった。
ハイブリッドクラウド環境におけるデータセキュリティの課題と解決策とは
https://eset-info.canon-its.jp/malware_info/special/detail/220628.html
クラウドストレージからの情報漏えい事例と対策
実際にクラウドストレージからの情報漏えいが起きた事例とその対策を解説する。
・不正アクセスによる情報漏えい
2016年、米国の大手クラウドストレージ運営企業が自社サービスのユーザーに対して、2012年半ば以前にユーザー登録をして以降、パスワードを変更していない場合、早急にパスワードを変更するよう要請。その理由は、過去に不正アクセスを受けた際に漏えいしたものと思われる、ユーザーのアカウント情報が明るみに出たためだ。
この原因は、社員がパスワードを使い回したためだとされる。総当たり攻撃や辞書攻撃などによってパスワードが破られ、外部からの不正アクセスによって情報が漏えいするといった事例がたびたび起こっている。
こうした被害を防ぐには、パスワードを最低でも15桁以上の複雑な文字列に設定することや、二段階認証や多要素認証を利用することが大切だ。加えて、アップロードするファイルを暗号化しておけば、仮に不正アクセスに遭遇した場合でも、ファイル内の情報自体が漏えいするリスクは抑えられる。
セキュリティを高めるために知っておくべきパスワード管理の基本
https://eset-info.canon-its.jp/malware_info/special/detail/200225.html
・サービス事業者の過失による情報漏えい
2019年、国内のデータ配送に特化したクラウドストレージサービスにおいて、およそ500万件に及ぶ個人情報が流出。流出したデータには氏名や生年月日なども含まれており、さらに暗号化されずに管理されていたため、流出した情報がそのまま悪用される恐れがあった。
このように、クラウドストレージサービスを提供する事業者のミスやハードウェア障害によって、セキュリティインシデントが実際に起きている。また、サービス事業者の従業員によって、不正にファイルが持ち出されることもあった。
こうしたサービス事業者の過失は、利用する企業・組織でコントロールする余地はあまりない。しかし、サービスを導入する際の選定基準を厳格化することで、未然に脆弱なサービスの利用を回避できる可能性は高まるだろう。
例えば、ISMSなどの情報セキュリティ管理基準に沿った運営が行なわれているか、サービスの品質保証を謳うSLA(Service Level Agreement:サービス品質保証)、セキュリティや可用性などの統制を評価するSOC2レポートといった信頼性を担保する資料をチェックし、サービスの品質を判断することも重要だ。
さらに、セキュリティインシデントが生じた場合を見据えて、サービス事業者と利用者側の対応範囲を明確化しておくことも必要だ。
・ミスコンフィギュレーションによる情報漏えい
従業員によるファイル共有設定やアカウント設定などのミスによって、データが意図せず一般公開された状態となり、情報が漏えいするという「ミスコンフィギュレーション」と呼ばれる事例もたびたび起こっている。例えば、2013年には、環境省や農林水産省など5つの官公庁で、機密情報を含むファイルやメールが誰でも見られる状態になっていた。この原因は、クラウドストレージのファイル共有設定にミスがあったためだ。
ミスコンフィギュレーションへの対策は、従業員が適切なアカウント管理や権限設定を行なうことに尽きる。また、そうした設定を管理者側で行なうことで、従業員のミスを減らすことができる。加えて、自社のセキュリティポリシーを見直し、その遵守を従業員に徹底することも重要だ。
クラウドのメールサービスを利用する際のセキュリティ対策とは?
https://eset-info.canon-its.jp/malware_info/special/detail/210114.html