社内資料の管理、従業員や顧客の情報管理などにクラウドサービスを利用することが一般的になりました。自社でも複数のクラウドサービスを業務に応じて利用しているという企業も珍しくないはずです。

クラウドサービスはデータをクラウド上で管理するため、セキュリティ対策に気を配る必要があります。

かつて、従業員や顧客に関する情報資産の管理には社内サーバーを設置して保管していました。しかし、クラウドを介してどこからでもデータにアクセスできるサービスが一般化した中で、セキュリティ面で不安に感じるという方もいるのではないでしょうか。

今回は、クラウドサービスと社内サーバーの特徴を比べ、セキュリティ上のリスクについて解説します。

クラウドと社内ファイルサーバーそれぞれの特徴

クラウドの特徴

「クラウド」とは、「クラウドコンピューティング」の略称であり、ファイルやデータの管理をPCやスマートフォンなどの端末ではなく、インターネット上に保管できる仕組みを指します。

特定の端末に保存しないことから、クラウドサービスへアクセスできる環境であれば、場所や端末問わず同一のファイルを参照できるのが特徴です。

また、GoogleドライブやDropboxのような定番のクラウドサービスでは、社外のクライアントにクラウド上でファイルを共有できるサービスもあります。ファイルを添付したメールを送る必要が無く、外部とのやり取りも効率的に行える点もメリットと言えるでしょう。

社内サーバーの特徴

社内サーバーは、NAS(Network Attached Storage)というネットワークに直接接続できるファイルサーバーを用いるのが一般的です。LAN経由での接続を行いますが、物理的なストレージを用いるため、社内の特定のエリアで管理を行います。

NASと同一のネットワーク上からアクセスすることでクラウド同様に外部環境からでもデータを参照することも可能ですが、基本的に社内でのファイル共有として用いられるのが一般的です。

クラウドサービスの安全性

クラウドサービスは、サービスベンダーのクラウド上にデータを管理するため、社内サーバーを利用するのと比べてセキュリティ上心配と感じることもあるでしょう。もちろん、気軽にデータにアクセスできるため、アカウントのパスワード設定や端末のセキュリティ対策方法によっては脆弱なこともあります。

しかし、クラウドサービスはセキュリティ面でのメリットが大きいのも事実です。例えば、自社保有の社内サーバーの場合、定期的なメンテナンスや脆弱性に対するアップデートを社内の担当者が行わなければなりません。一方でクラウドはサービスベンダーによって脆弱性に対するアップデートが自動的に行われます。そのため、情報セキュリティに関する知見が社内に無い場合でも比較的安心して利用できます。

また、社内に物理的なサーバーを保有しないため、停電によるトラブルや自然災害によるデータ破損のリスクがほぼ無い点も「安全性」という点においてのメリットです。データ自体はサービスベンダーが保有するデータセンターで管理されますが、拠点ごとに分散管理されているため社内の1拠点で管理するのと比べて安全と言えるでしょう。

参考:クラウドはセキュリティが不安?|IDCフロンティア

クラウドサービスで考えられるセキュリティ上のリスク

クラウドサービスは、基本的に安全に利用できるよう各種サービスベンダーのセキュリティへの取り組みが行われています。とはいえ、社内サーバーもクラウドサービスも100%安全というわけではありません。利用者自身の対策や、ネットワーク上の脅威によって常にリスクがあると考えましょう。

次に、クラウドサービスを利用する上で考えられるセキュリティ上のリスクについて解説します。

端末の利用状況によってセキュリティのレベルが大きく異なる

クラウドサービスは、ブラウザやアプリから自身のアカウントにログインするだけで利用できます。そのため、アカウントや端末のセキュリティ対策の度合いによってセキュリティのレベルが大きく異なります。

端末のパスコードロックをしていない場合や、アカウントへの自動ログイン状態、パスワード不要で利用できるフリーWi-Fiの利用など、一般的なセキュリティ対策を怠ることでリスクになります。

参考:クラウドサービス利用時の注意点|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

外部へのファイル共有の人的ミス

クラウドサービスの中には、GoogleドライブやDropboxのように外部へのファイル共有機能が搭載されていることが珍しくありません。基本的に法人向けのクラウドサービスは、従業員のみの閲覧設定を行えます。

とはいえ、社外のクライアントとやり取りする場合はデータの閲覧権限を開放することができます。利用者が共有できる範囲を設定できますが、非常に簡易的に行えるサービスもあるため、誤操作や送付するデータを間違えるといった人的ミスによって社内の情報資産が漏洩するリスクが考えられます。

サービスベンダーへのサイバー攻撃

クラウドサービスのセキュリティ上のリスクは、利用者の管理状況や人的ミスが要因となることが殆どですが、自身の対策だけでは防げないリスクがあることも知っておくことが大切です。

それは、クラウドサービスを提供するベンダーへのサイバー攻撃によるリスクです。サービスベンダーの大小問わずサイバー攻撃の標的になる可能性があります。アメリカ大手のIT企業であるYahoo! Inc.はサイバー攻撃によって30億のアカウント情報が流出したとの報道がありました。

サイバー攻撃は、多くの利用者を抱える大手企業が標的になりやすいとされており、対策も取られていますが、必ずしも大手だから安心とは言えません。

参考:米ヤフー、2013年サイバー攻撃で全30億アカウントの情報流出

セキュリティ対策の徹底を!

クラウドサービスは、低コストで導入でき、場所を問わず利用できることからビジネスにおいて非常に大きなメリットがあります。一方、その手軽さゆえにセキュリティ上のリスクを理解した上で活用しなければなりません。

サービスを利用する際は、特定のアカウント管理者が従業員のアカウントを管理できるクラウドサービスを選定しましょう。それだけでなく、従業員の私用端末での利用を制限するといった対策を行うことでリスクを抑える取り組みを行ってみてはいかがでしょうか。