クラウドサービスのセキュリティについて~クラウドサービスとオンプレミスの比較はナンセンス?~

昨今、企業でのクラウドへの移行が進んでいるが、セキュリティ面の不安から導入をためらっているという声も多い。しかしクラウドサービスはオンプレミスよりセキュリティ面で劣っていないことをご存知だろうか。クラウドサービスを利用する事で、オンプレミスを利用する場合と比較して企業側がセキュリティを管理する範囲が狭まる場合もあるのだ。

2020.04.06 MON

クラウドサービスのセキュリティについて~クラウドサービスとオンプレミスの比較はナンセンス?~

CATEGORY:

クラウドサービスの利用状況

総務省から公表されている「平成30年度版情報通信白書」によると、2017年の企業におけるクラウドサービスの利用状況は56.9%で前年の46.9%から大幅に上昇している。企業のクラウドサービスの利用が加速していることが確認できる。

さらに日本政府もクラウドサービスの利用に本腰を入れており、2018年6月に「政府情報システムにおけるクラウドサービスの利用に係る基本方針(案)」を公表し、「クラウド・バイ・デフォルト原則」として、クラウドサービスの利用を第一候補として検討を開始している。2020年2月には、2020年秋に運用開始予定の「政府共通プラットフォーム」において、AWSの採用を正式に決めたことがニュースで多く取りざたされている。(過去記事:「日本は遅れている?政府が推奨するクラウド化の方針とは

一方で、世界と比較した場合、日本のクラウドサービスの利用状況はどうだろうか。ガートナーは、クラウド先進国の米国と比較して、2022年時点で何年遅れているかによって、「追跡国」「遅滞国」「抵抗国」の3つに区分した。その中で、日本は最下位ランクの「抵抗国」に位置付けられた。抵抗国とは、米国と比較して7年以上遅れていることを指す。一見、日本でクラウドサービスの利用が加速しているように見えるが、世界と比較した場合、まだまだそのスピードは遅いようだ。では、日本でより一層クラウドサービスの利用を加速するためにはどうしたらいいだろうか。


セキュリティへの不安とその解決策

「平成30年度版情報通信白書」で、クラウドサービスを利用しない理由の一位が「必要がない」で39.5%、二位が「情報漏えいなどのセキュリティに不安がある」で38.1%であった。一位と二位の差は1.4%の僅差である。

一位の「必要がない」については、クラウドサービスの理解を深めることで利用の必要性が出てくる等、潜在的なニーズを引き出し導入に前向きになれる可能性がある。
ではより具体的な悩みを抱えている二位の「情報漏えいなどのセキュリティに不安がある」においてははどうだろうか。これもやはり、各企業のクラウドサービスのセキュリティへの理解が不足していることが根本にある。しかし、裏を返せばこの理解を深めることで、クラウドサービスの利用をより加速させていけるだろう。

セキュリティ面での不安を抱える国内企業に対して、安全性を周知させるために政府が行っている対策がある。経済産業省が公表している「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」をご存知だろうか。通称「クラウドセキュリティガイドライン」と呼ばれ、利用者が安心してクラウドサービスを利用するための指標となるものだ。2011年4月の公表後、クラウド事業者がIoTサービスを提供する際のリスクへの対応方針を取りまとめたことを受けて、2014年3月に改訂されたものが最新版となる。(参照元:クラウドサービス利用のための情報セキュリティマネジメントガイドライン

ガイドラインの中ではクラウドサービス利用における情報セキュリティ管理の確立,導入,運用,監視,見直し,維持及び改善のための実施の手引について記載している。また、クラウド利用者とクラウド事業者がこのガイドラインを活用することにより、両者間でクラウドサービスのセキュリティ対策が円滑に行われるようになることを目的としている。

さらに作成と同時に英訳も行われており「クラウドセキュリティガイドライン」の国際標準化も進められていた。2010年には情報技術(IT)分野の国際標準化を行うJTC1/SC27にて、日本からの標準化についての提案が受け入れられた。その後アメリカやドイツをはじめとした参加国の意見を取り入れながら内容が再検討され、クラウドサービスに関する情報セキュリティ管理策の国際的ガイドライン規格である「ISO/IEC 27017」が策定された。これにより、利用者も事業者も、海外のクラウドサービスを安心して利用・提供できるようになった。

実際に海外では、セキュリティ強化のためにクラウドサービスを導入する企業が増えている。日々高度化するサイバー攻撃から企業を守るために、社内のセキュリティレベルの向上が求められているが、そこに充てる費用や使用する設備には限界がある。ここでまさに最適なのがクラウドサービスだ。


セキュリティ面で安心できる2つのポイント

ここからはクラウドサービスのセキュリティについて具体的に掘り下げていく。 まず、クラウドの利用形態について簡単に説明する。クラウドの利用形態はIaaS、PaaS、SaaSの3つに分類され、クラウドの利用形態により企業とクラウド事業者が管理する範囲が異なる。オンプレミスと比較すると以下の図のようになる。IaaS、PaaS、SaaSのいずれの場合もオンプレミスと比較して企業側が管理する範囲が狭まることがわかるだろう。

【図解】オンプレミスとIaaSPaaSSaaSの違い
利用者とクラウド事業者が管理する範囲が違う

これまでの内容を踏まえ、クラウドサービスのセキュリティのポイントは以下の2点と考えられる。

① クラウドサービスを利用することにより、企業側が管理しなければならないセキュリティの範囲が狭まること
② クラウドがオンプレミスと比較して、セキュリティ面で劣っていないこと

① クラウドサービスを利用することにより、企業側が管理しなければならない範囲が狭まる
図に記載の通り、オンプレミスの場合、全て自社で構築するので、全範囲で企業側がセキュリティの責任を負う必要がある。一方で、クラウドの場合、利用形態によって企業側が管理する範囲が異なるが、いずれもオンプレミスと比較すると管理する範囲が狭まる。つまり、企業側がセキュリティの責任を負わなければならない範囲が狭まり、運用負荷等が低減される。例えば、企業がPaaSの利用形態でサービスを利用する場合、オンプレミスの場合に定期的に必要なOSのセキュリティパッチの適用を実施する必要がなくなるため、運用負荷が低減される。

ただし、IaaS、PaaS、SaaSのいずれの場合も各クラウド事業者が提供しているサービス範囲を正しく理解し、企業側で準備する必要のあるセキュリティの範囲を丁寧に検討する必要がある。

② クラウドがオンプレミスと比較して、セキュリティ面で劣っていないこと
本記事の最初にも記載したが、日本政府は「政府共通プラットフォーム」において、AWSの採用を決めた。また、米国防省は、「JEDI」と呼ばれる軍事情報システムでMicrosoft Azureの採用を決めた。このことから、各クラウドサービスが国で求められる非常に高いセキュリティ水準を満たしている(または、満たそうとセキュリティレベルを上げている)ということが言えるのではないだろうか。

クラウド事業者は非常に高いレベルのセキュリティ対策を実施しているので、オンプレミスでクラウドサービス以上にセキュリティを担保できると言い切れる企業は少ないだろう。 むしろ、オンプレミスよりもクラウドサービスを利用したほうがセキュリティに関する心配が減る可能性が高い。クラウド事業者が高いレベルのセキュリティ対策を実施している証拠の一例として、セキュリティに関する投資を積極的に行っていることがあげられる。例えば、Microsoft社は全世界で約3500名のセキュリティ専門の人材を配置し、年間約1,000億円の投資を行っている。

データの管理についても、クラウド事業者は、運営しているデータセンターで保管されたデータを適切にコントロールするため、厳密な内部統制を取っている。オンプレミスのほうが近くにデータがあるため安全と思われるかもしれないが、データはどこで管理されているかより、外部に漏洩しないようにどのような運用で管理されているかのほうがはるかに重要である。

以上のことから、オンプレミスよりもクラウドのほうがセキュリティ面で劣っているという比較はもうナンセンスと言えるかもしれない

実は前出の「平成30年度版情報通信白書」において、クラウドサービスを利用している日本企業の25.9%はクラウドを導入した理由として「情報漏えい等に対するセキュリティが高くなるから」と答えている。クラウドサービスの普及・発展と並行してセキュリティ面も日々アップデートされ堅固なものになっているのだ。

クラウドでは常に最新のセキュリティ環境で運用を行うことができる。導入をする際には不安な点を具体化し、対象サービスのセキュリティ対策に関する情報もしっかりと確認して検討して欲しい。

出典1 https://www.soumu.go.jp/johots...
出典2 https://xtech.nikkei.com/atcl/...
出典3 https://xtech.nikkei.com/atcl/...
出典4 https://securesamba.com/media/...

関連記事