このレッスンでは、
みさなんもおなじみのクラウドサービスについて学習しましょう。
クラウドサービスの利用
現在、クラウドサービスを利用している企業は、
全体の8割以上とも言われています。
以前は社内のサーバーでデータを管理していたので、
外部のネットワークから隔離できていたのが、
クラウドサービスではインターネット上にデータを置くので、
情報漏洩のリスクは高まります。
クラウドサービスはどこからでもアクセスができて便利ですが、
設定を間違えると誰でもアクセスできる状態になってしまい、
セキュリティ対策はより重要になります。
クラウドサービスは主に、
- IaaS(Infrastructure as a Service)
- PaaS(Platform as a Service)
- SaaS(Software as a Service)
の3種類があります。
IaaSはインターネットを介してサーバーを、
PaaSはインターネットを介してソフトウェア開発などのためのプラットフォームを、
SaaSはインターネット上でソフトウェアを提供するサービスです。
一般のユーザーにとっては、SaaSがもっともなじみがあるかもしれません。
Dropboxといったストレージサービスや、
ZoomなどのWeb会議ツールはSaaSになります。
情報漏洩などした場合、どこが責任を持つかということですが、
3つの中でもSaaSがもっともユーザーの責任範囲は狭くなり、
事業者側の責任が大きくなります。
しかし、それでもデータ管理やアクセス権限の管理はユーザーの責任となるため、
どのようなデータを保存し、誰がアクセスできるかは、
ユーザーがしっかりと責任を持って管理する必要があります。
設定ミスなど無いように、注意しましょう。
自社がクラウドサービスを利用している場合、
次のことを確認してみましょう。
①アクセス権の設定は大丈夫か?
まずは、アクセス権を見直してください。
1人1人にIDを付与したのち、
役職のクラスによって必要最小限の権限を与えます。
例えば機密情報などは、上層部だけがアクセスできるように設定します。
ありがちなのが、必要の無い人に管理者の権限を与えることです。
クラウドサービスの利用に慣れていない人が、
誤ってデータを消去してしまったり、
機密情報を公開してしまうという人為的ミスはよくあることです。
設定をしっかり管理することで、
こうした意図せず起きてしまうミスを防ぐことができます。
②データ共有の方法は大丈夫か?
クラウドに入れてあるデータを社内で共有して閲覧することはよくあることですが、
URLを伝えてアクセスしてもらう方法が簡単なので、
よく利用するケースもあるでしょう。
しかし、この方法はおすすめできません。
URLは複雑な文字列なので推測は難しいですが、
URLを貼ったメールを誤送信してしまって、
第三者に知られてしまう可能性はゼロではありません。
データ共有する場合は、
共有したい相手のメールアドレスを入力して、
招待する方法を利用しましょう。
③シャドーITに注意
組織が管理していないシステムを社員が使うことを、
「シャドーIT」と言います。
これは、社員が使用していることをITシステム部門が
把握できていない時にも使われます。
誰でも使える便利で簡単なクラウドサービスが次々に登場し、
社員がファイル共有やスケジュール管理、
タスク管理などに使うことが多いです。
業務の効率化に有効ではありますが、
セキュリティ観点から考えると望ましい状態ではありません。
システム部門が把握できていないシステムで機密情報がクラウド上に共有されると、
情報漏洩のリスクは高まります。
シャドーITを防ぐために、社内のルールを徹底しましょう。
クラウドサービスの利用はよく検討しよう
日常でPCを利用していると、
クラウドサービスに誘導されることがよくあると思います。
クラウドサービスを利用している企業が増えていることからも、
ITの世界ではクラウドサービスの収入源が大きいという背景があります。
クラウドサービスはとても便利ですが、
企業の大切な情報をまとめて共有することはリスクでもあります。
ですからクラウドサービスを利用する場合には、
本当に業務に必要かどうかよく検討してからにしましょう。
そして利用する時には、セキュリティの意識を高く持って、
リスクを最小限に抑えてください。
Lesson7では、企業のITセキュリティ担当者が知っておきたい、
- 心がまえやセキュリティのルールづくり
- 人材の確保
- セキュリティ系資格と人材育成プログラム
- 基礎知識
について学習してきました。
Lesson8では、このレッスンでも少し触れましたが、
社内のITセキュリティ対策の進め方について解説していきます。
