検索
レビューを探す
レビューを探す

これだけは押さえたい!オンラインストレージのセキュリティ対策

 オンラインストレージは、社内外のメンバーとデータ共有が容易にでき、低コストで利用できるため、多くのユーザーにビジネスをはじめとしたさまざまな用途で活用されています。

 オンラインストレージの中にはセキュリティ機能が充実しているものもありますが、ビジネスで利用する上で、セキュリティ上のリスクが全くないわけではありません。

 本記事ではオンラインストレージを使用する際のセキュリティリスクと、そのリスクへの対処方法をご紹介します。

サイバー攻撃による情報漏えいリスク

 サイバー攻撃による被害は世界各国で発生しており、その規模や件数は年々拡大しています。特に、近年では標的型攻撃(特定の組織を対象として継続的かつ巧妙な方法で行われるサイバー攻撃)が増えており、国内でも多くの企業が情報流出の被害にあっています。

 標的型攻撃による被害はオンラインストレージも例外ではなく、発生の可能性は十分にあります。しかし、残念なことに標的型攻撃を100%回避する手段は今のところないのが実情です。ただし、セキュリティリスクを減少させる方法はありますので、対策を3つご紹介します。

1.オンラインストレージサービスのセキュリティ対策を確認する

 オンラインストレージの利用者は、オンラインストレージサービスのインタフェースを通して、クラウド上にファイルなどのデータを保存することになります。ここでいうクラウは、オンラインストレージサービス事業者のデータセンターを指しており、利用者のデータはそのデータセンターに設置されたハードディスクに保管されていくことになります。

 そのためオンラインストレージを使う場合、サイバー攻撃に対するセキュリティ対策はサービス事業者側に依存することになります。従って、導入しているセキュリティ対策の確認が重要となります。例えば、次のような項目を確認すると良いでしょう。

・ウイルスやマルウェア感染への対策、不正アクセスへの対策、ネットワーク障害対策を行っているか
・OSやアプリケーションのアップデート、セキュリティ修正パッチやサービスパックを適時適用しているか
・障害や攻撃に対する監視、検知、解析、防御対策を行っているか
・ファイルを暗号化して保管しているか
・運営スタッフの信頼性を確認し、勤務状況や作業内容をモニタリングしているか
・システムへのアクセス権限や管理者特権の管理、操作ログの管理を行っているか

 これらを確認することで、オンラインストレージサービスを運用しているデータセンターの物理的、技術的、組織的なセキュリティ対策を確認できます。つまり、オンランストレージの利用者が保管したデータが安全に管理されているのか確かめることができるのです。

2.第三者機関からの評価を確認する

 オンラインストレージを選択する基準として、次のような第三者認証の取得の有無も確認したいところです。

・ISO/IEC27001(情報セキュリティマネジメントシステム(ISMS)に関する国際規格)
・ISO/IEC27017(クラウドサービスに関する情報セキュリティ管理策のガイドライン規格)
・ISO/IEC27018(パブリッククラウドにおける個人情報の保護に特化した初めての国際規格)
・ASP・SaaS安全・信頼性に係る情報開示認定制度(一般財団法人マルチメディア振興センター)
・CSPAクラウドサービス認定(一般社団法人クラウドサービス推進機構)

 第三者認証は、利害関係のない外部機関が公正な審査をして認証を与える制度です。そのため上記のような第三者認証を取得しているということは、一定レベルのセキュリティ基準をクリアしていることが認定されたことになります。利用者が個別にオンラインストレージサービスのセキュリティ対策を確認することは難しいため、信頼できる第三者機関からの認証はサービス選択の指標の1つになるのではないでしょうか。

3.利用者側でセキュリティ対策を行う

 オンラインストレージなどのクラウドサービスは、インターネットに接続できれば、権限のないユーザーによる不正アクセスをされる可能性があるため、「アカウント管理」や「アクセス制御」を行うことが必要になります。オンラインストレージを利用する場合には次のような対策を行うことをおすすめします。

・パスワードはできる限り長く、複雑にして、使い回しをしない

・2段階認証を利用する

・自宅のLANや私物のPCからのアクセスを制限する

・使用者の退職や異動時にはアカウントの抹消を行う

サーバダウン等によるデータ消失リスク

 サービス事業者のデータセンターは大変強固なセキュリティ対策や災害対策を行っていることがほとんどですが、サーバダウンやそれに伴うデータ消失が発生する可能性が無いわけではありません。海外にデータセンターがあればテロによるサーバダウンもセキュリティリスクの1つです。これらのリスクへの対策方法を3つご紹介します。

1.ローカルにバックアップを取っておくサーバダウン等によるデータ消失リスク

 サーバダウン等によるデータ消失リスクへの対策としては、バックアップをとることが有効です。バックアップ先は、利用者側で用意したSSD、HDDなどの記憶媒体が考えられます。どうしても紛失できないデータは、ローカル環境にバックアップをしておくことをおすすめします。

2.バックアップ用のオンラインストレージを用意する

 日常のデータ保存やファイル共有に使うオンラインストレージとは別に、バックアップ専用のオンラインストレージを用意する方法もあります。その場合には、オンラインストレージのデータセンター立地を確認し、地域が異なるデータセンターを選択しましょう。

3.サービス水準合意(SLA)をチェックする

 「サービス水準合意(SLA:Service Level Agreement)」とは、サービス提供事業者と利用者の間で結ばれるサービスレベルの合意文書のことです。SLAには、サービスレベルを明確にするために、「稼働率」「遅延時間」「障害から復旧までの時間」などが記載されています。SLAをチェックすると、サーバダウンの可能性やデータバックアップの手段について知ることができるため、オンラインストレージを選ぶ際の参考材料となります。

サーバ所在地によるカントリーリスク

 サーバ所在地によっては、その国の法律の制限を受けることがあります。例えば、アメリカでは、同時多発テロ事件後に政府機関が裁判所の許可なくアメリカにあるサーバ内のデータを調査することを可能にした米国愛国者法(USA Patriot Act)という法律が制定されました。

 この法律によって、事件には関与していなくてもデータを保存しているサーバが押収されることなどにより、サーバにアクセスできなくなるといった影響を受けることが懸念事項になりました。※注1)

 また、そもそもサーバ所在地国を明らかにしていない場合には、どの国の法令の影響を受けるか分かりません。そのため、契約時には想定していない事態が起きる可能性もあります。
カントリーリスクを避けるための対策を2つご紹介します。

※注1)米国愛国者法そのものは2015年に失効しましたが、2018年に「CLOUD法」が成立し、アメリカに拠点を置く企業に対しては、アメリカ外にサーバがあっても政府機関が情報開示を要求することが認められました。しかし、アメリカ政府からの求めに応じて日本企業が本人の同意なく個人情報を開示すれば、国内法違反になるため、うかつには開示できません。日本国内での「CLOUD法」への対応についての協議が待たれるところです。

1.サーバ所在地国を確認し影響を受ける法令を確認する

 オンラインストレージの規約等にてサーバ所在地国を特定し、所在地国の法令の影響を調査する必要があります。場合によっては、顧問弁護士に相談することも必要かもしれません。

2.国内にサーバがあるオンラインストレージを選択する

 海外の法令による制限を受けにくいため、国内にサーバがあるオンラインストレージを選択することも対策の1つです。日本は海外に比べ治安、政情、電力・通信インフラの品質、運用管理面で優れているため、データセンターの運用が安定しています。そういった面から、国内のデータセンターを使っているサービスを選ぶことも対策の1つとなるでしょう。

まとめ

 オンラインストレージはコストを抑えつつ、社内外のメンバーとデータを共有し、業務効率を高めるのに有効なツールです。しかし、情報という企業にとって大事な資産を扱うため、その選定に関してはセキュリティ対策がしっかりしたサービスであることが大前提となります。

 サーバ所在地国を調査し、第三者評価などを参考に最適なセキュリティレベルのものを選択しましょう。さらに、サービス導入後も利用者側でのバックアップやパスワード管理を行い、セキュリティを堅固にするための運用が必要となります。


 ITreviewでは、実際にオンラインストレージを利用中のビジネスユーザーが評価したレビューを全件公開しています。どの製品がユーザーの評価を得ているのか、レビューデータをもとに算出した比較表もチェックいただけます。

お知らせやキャンペーンなどの
お得な情報が手に入ります

会員登録

「オンラインストレージ」の記事一覧

「オンラインストレージ」の記事一覧 >

よく読まれている記事

おすすめ記事

VPN

ajax-loder