クラウドは安全か

(1/1)
東日本大震災を契機に、データやファイルを分散することで災害時にも強いクラウドが注目されています。
有料のクラウドサービスには十分なセキュリティ対策が施されていますが、運用主体が海外企業の場合、日本の法律が適用されないことに留意しなければなりません。

目次

運用リスク

クラウドコンピューティングのイラスト
クラウドのメリットは、データを保存する場所を各地に分散することで、大規模災害が起きたときでもシステムが停止しないようにできることです。
クラウドサービスとして有名な Amazon Web ServicesGoogle Workspace は、技術的には十分なセキュリティ対策が施されています。一般企業の社内にサーバを置くよりは、はるかにリスクが低いと言えます。
ただし、運用上、注意しなければならないことがあります。クラウドサービスに対しては、国際的かつ実効性ある守秘義務規定がないのです。
前述の Amazon や Google の場合、運営主体がアメリカの会社であるため、日本の個人情報保護法が適用されません。
一方アメリカには、愛国者法という法律があり、テロ調査に関連するとみなせば個人情報の入手は裁判所の命令なしにできます。つまり、クラウドサービス事業者のサーバが、利用者に断りなく突然警察に押収されるような事態が起こり得るのです。

逆に、EU加盟国から個人情報を預かろうとする場合、EUのデータ保護指令により、日本のサーバでは管理できないことになっています。

セキュリティ・リスク

個人情報を漏洩させた人のイラスト
一般的なクラウドサービスは、技術的には十分なセキュリティ対策が施されていると書きましたが、セキュリティには絶対安全ということはありません。そのクラウドサービスが高度なサイバー攻撃を受けた場合、データ漏洩は起こり得ます。
AmazonやGoogleのような有名なサービスは攻撃を受けやすいというリスクがある半面、攻撃を受けた場合の対策も練られていると言えます。
逆に、無名のサービスを利用すればサイバー攻撃は受けにくいでしょうが、攻撃を受けた場合の対策が不十分である可能性はあります。

設定ミスが続く

クラウドのアクセス制御
2020年(令和2年)12月、楽天グループと Experience Cloud(Salesforce社)がサービスが、設定ミスによって、誰もが個人情報を閲覧できる状態になっていたと発表しました。とくに楽天のシステムでは、5年以上、その状態が放置されていたといいます。
多くのクラウドサービスでは、アクセス権限を制御する機能がありますが、利用社側がこれを正しく設定していなかったために起きた事故です。
この他、Amazon AWSの設定ミスも複数報告されています。
Verizon社が毎年発表している「Data Breach Investigation Report for 2020」によれば、2020年(令和2年)の情報漏洩の要因として特筆すべき事項として、クラウドサービスの設定ミスによる情報漏えいが急増したことを挙げています。

業務でクラウドサービスを利用する場合は、アクセス権限の制御の設定はもちろん、定期点検で設定値が正しいかどうか確認しましょう。

参考サイト

(この項おわり)
header