2019年3月20日水曜日

セキュリティに意識的になって、安全にサービスを使いましょう

便利な機能を謳うクラウドサービスが、どんどんリリースされ、ビジネスの場においても、広く使われていますが、便利な機能にばかり気を取られて、セキュリティについての理解や認識があいまいであることもあるようです。今回は、セキュリティについて、その意味を再考してみます。



「安全に」サービスを使う

一口に「セキュリティ」と言っても、その意味することは多岐にわたりますが、ここでは、「クラウドサービスを使って、企業活動を安全に行うこと」といった側面で見てみます。
「安全に」とはどういう意味でしょうか。まず、考えられるリスクを挙げてみます。

  • 情報が漏洩する(機密性が損なわれる)
  • 情報が消去・改ざんされる(完全性が損なわれる)
  • 情報が利用できなくなる(可用性が損なわれる)

これらのリスクが顕在しないことが、安全にサービスが利用できるという状態です。

クラウド以前とクラウド以後

当然ながら、これらの対策はクラウドサービスが提供される以前にも最重要な要件として実現されていました。重要な情報資産を漏洩から守るために、物理的あるいはネットワーク的にインターネットから分離したりする等です。また、情報が失われないようにハードウェアを冗長化したり、バックアップを取り、DR/BCPについての計画を策定していたりもしていました。
クラウドサービスが提供されるようになって、これらの対策が不要になったわけではなく、自前でやらなくても良くなっただけです。クラウドサービス・プロバイダは、これらの要件を満たすために、より大規模なリソースを使って、高度なレベルで実現しています。
つまり、クラウドサービスを購入するということは、そのサービスの主機能とそれをセキュアに利用する仕組みを購入しているということになります。

セキュリティ要件について意識的に見直しましょう

クラウドサービスを選定する時には、その主機能が要件を満たすか検討することが当然ですが、セキュリティ要件も、依然として重要なポイントです。「データがどこにあるか分からないから」とか、「サービス・プロバイダがデータを覗いているかも」といった、『漠然とした不安』を感じているのは問題です。また、反対に「最新のサービスだから安心」とか、「大きな企業が提供してるから大丈夫」といった『盲目的な思い込み』で安心してしまうのも問題です。
セキュリティ要件は、各組織で、その重点ポイントが異なります。自分の組織がどのようなポイントについて、どのレベルを求めているのかについて、意識的になる必要があります。

機密性はユーザによって容易に損なわれます

「可用性」や「完全性」は、クラウドサービス・プロバイダがその責任を負う部分が大きい要素ですが、「機密性」については、プロバイダが高いレベルを提供したとしても、ユーザの使い方が適切でなければ容易に損なわれます。例えば、

  • 短すぎるパスワードを許している
  • 複数人にアカウントが共有されていて、どこからでもアクセスできる
  • 個人で利用するサービスとパスワードが同一である

という運用が許容されている場合、不正アクセスが起こる可能性が高まります。
また、多くのクラウドサービスを利用している場合に、アカウントの適切な管理が出来ていないと、意図しない人に意図しない情報が閲覧可能になっていたり、退職者のアカウントが有効なままになってしまうといった事故が起こりやすくなります。

機密性を確保するサービス

クラウドサービスには、機密性を確保することを目的としたサービスがあります。弊社が提供する「Gluegent Gate」は、各種クラウドサービスに対して、


  • IPアドレスや端末認証、証明書認証によるアクセス制御
  • アカウントの統合管理
  • シングルサインオン

の機能を提供します。「機密性」は、ユーザの利便性に引きづられて、ゆるくなりがちですが、Gluegent Gateは、利便性を確保した上で、高い機密性を維持することが可能です。

セキュリティ要件を明確にして、安全にサービスを利用しましょう

セキュリティの確保は、ここまでやれば、永続的に絶対安心という性質のものではなく、常に十分かどうかを確認し続ける必要があります。ただ、自分の組織が求める要件を明確にしなければ、それもままなりません。まずは、セキュリティについて、「意識的」になることで、自ずと明確になってきます。その上で適切な対策を取り、安全にサービスを利用することをお薦めします。


   Gluegent Gate