運用リスク
クラウドのメリットは、データを保存する場所を各地に分散することで、大規模災害が起きたときでもシステムが停止しないようにできることです。
クラウドサービスとして有名な Amazon Web Services や Google Workspace は、技術的には十分なセキュリティ対策が施されています。一般企業の社内にサーバを置くよりは、はるかにリスクが低いと言えます。
ただし、運用上、注意しなければならないことがあります。クラウドサービスに対しては、国際的かつ実効性ある守秘義務規定がないのです。
クラウドサービスとして有名な Amazon Web Services や Google Workspace は、技術的には十分なセキュリティ対策が施されています。一般企業の社内にサーバを置くよりは、はるかにリスクが低いと言えます。
ただし、運用上、注意しなければならないことがあります。クラウドサービスに対しては、国際的かつ実効性ある守秘義務規定がないのです。
セキュリティ・リスク
一般的なクラウドサービスは、技術的には十分なセキュリティ対策が施されていると書きましたが、セキュリティには絶対安全ということはありません。そのクラウドサービスが高度なサイバー攻撃を受けた場合、データ漏洩は起こり得ます。
AmazonやGoogleのような有名なサービスは攻撃を受けやすいというリスクがある半面、攻撃を受けた場合の対策も練られていると言えます。
逆に、無名のサービスを利用すればサイバー攻撃は受けにくいでしょうが、攻撃を受けた場合の対策が不十分である可能性はあります。
AmazonやGoogleのような有名なサービスは攻撃を受けやすいというリスクがある半面、攻撃を受けた場合の対策も練られていると言えます。
逆に、無名のサービスを利用すればサイバー攻撃は受けにくいでしょうが、攻撃を受けた場合の対策が不十分である可能性はあります。
設定ミスが続く
2020年(令和2年)12月、楽天グループと Experience Cloud(Salesforce社)がサービスが、設定ミスによって、誰もが個人情報を閲覧できる状態になっていたと発表しました。とくに楽天のシステムでは、5年以上、その状態が放置されていたといいます。
多くのクラウドサービスでは、アクセス権限を制御する機能がありますが、利用社側がこれを正しく設定していなかったために起きた事故です。
この他、Amazon AWSの設定ミスも複数報告されています。
多くのクラウドサービスでは、アクセス権限を制御する機能がありますが、利用社側がこれを正しく設定していなかったために起きた事故です。
この他、Amazon AWSの設定ミスも複数報告されています。
Verizon社が毎年発表している「Data Breach Investigation Report for 2020」によれば、2020年(令和2年)の情報漏洩の要因として特筆すべき事項として、クラウドサービスの設定ミスによる情報漏えいが急増したことを挙げています。
業務でクラウドサービスを利用する場合は、アクセス権限の制御の設定はもちろん、定期点検で設定値が正しいかどうか確認しましょう。
業務でクラウドサービスを利用する場合は、アクセス権限の制御の設定はもちろん、定期点検で設定値が正しいかどうか確認しましょう。
参考サイト
- クラウドサービスレベルのチェックリスト:経済産業省,2019年10月1日改訂
- クラウドセキュリティガイドライン活用ガイドブック:経済産業省,2013年度版
(この項おわり)
有料のクラウドサービスには十分なセキュリティ対策が施されていますが、運用主体が海外企業の場合、日本の法律が適用されないことに留意しなければなりません。