セキュリティクラウドとは?導入メリットや導入時の注意点まで詳しく解説
近年はクラウドサービスの需要が高まっている。自治体においても、庁舎外に設置したデータセンターで情報を管理し、複数の自治体が共同利用できる「自治体クラウド」の導入が進んでいる。ただクラウドサービスは便利な半面、利用時にはセキュリティ対策が欠かせない。そこで導入すべきが、セキュリティ対策が充実したクラウドサービスの「セキュリティクラウド」である。今回は、セキュリティクラウドの概要や導入のメリット、注意点、選び方まで詳しく解説する。
セキュリティクラウドとは?
セキュリティクラウドとは、クラウド環境特有のリスクに対するセキュリティや、セキュリティ対策が充実しているクラウドサービスを指す言葉である。近年はワークスタイルの多様化に伴い、クラウドサービスを導入する企業が増加傾向にある。「自治体クラウド」をはじめ、クラウドの導入を検討している自治体も多いのではないだろうか。
しかしクラウドは便利な一方で、情報漏えいなどのセキュリティ面でのリスクが存在する。クラウドサービスではデータが外部のサーバーに保管されており、インターネット環境とログイン情報さえあればどこからでもアクセスできる。そのためログインに必要なIDやパスワードが流出すれば、第三者にログインされ、情報漏えいが起きたり、システムが破壊されたりするおそれがある。そこで必要なのが、セキュリティクラウドだ。クラウドサービスではそれぞれセキュリティ対策が行われているが、その内容やセキュリティのレベルは同一ではなく、選択したサービスによって差が生じている。
本記事では、セキュリティレベルが高いクラウドサービスを「セキュリティクラウド」として、導入時に知っておきたいポイントについて解説していく。
関連記事|自治体クラウドとは?導入するメリットや取り組みの手順を詳しく解説
セキュリティクラウドの導入メリット
セキュリティクラウドの導入には、さまざまな面でメリットが存在する。特に注目すべきは、セキュリティレベルの向上やコストの削減だ。令和5年3月に改定された「情報セキュリティポリシーのガイドライン」にも、セキュリティクラウドの導入による情報セキュリティ対策では、情報セキュリティレベルの向上とコスト削減が期待できるとの記載がある。導入による具体的なメリットについて見ていこう。
コストの削減につながる
オンプレミスの場合は設備を全て自分たちで用意する必要があり、多くの導入コストが発生する。しかしクラウドサービスはインターネットさえあれば利用できるため、設備の用意が必要なく、オンプレミス型と比較すると導入コストを大幅に抑えられる。またメンテナンスなどの維持作業も事業者が行うため、維持コストの削減にもつながる。
オンプレミスと比較して運用のハードルが低い
オンプレミス型ではメンテナンスを自分たちで行う必要があるため、技術を持つ人材の確保や手配に多くの手間がかかっていた。一方クラウドサービスの場合は、メンテナンスをはじめとした管理はサービスを提供する事業者が行うため、手間やコストの大幅な削減が可能になる。またサーバー管理のプロに運用を任せることで、常に最新のセキュリティが保たれることもメリットの一つだ。
職員によるデータ漏えいのリスクを抑えられる
「職員が重要なデータの入ったパソコンを紛失した」「退職者がデータを持ち出した」などのニュースを一度は見たことがあるだろう。うっかり電車に端末を置き忘れたなどの理由により、職員の手で情報が漏えいしてしまうリスクは十分に存在する。クラウドサービスはWeb上にデータが保管されるため、スマートフォンやパソコンなどの端末本体に情報が残らず、データ漏えいのリスク削減にも役立つ。
容量を拡張しやすい
オンプレミスでスペックを変更する際には、新たにサーバーを構築する必要がある。一方クラウドサービスではWEB上でスペックの変更ができるため、オンプレミス型と比較すると容量を容易に拡張できる。容量の拡張の有無や料金体系については各サービスによって異なるものの、長期間の使用を前提としている場合は、クラウドの方が使い勝手がよく、ムダが発生しづらい。
▶ 自治体のセキュリティを強化する、民間サービスを確認する。
「ジチタイワークスHA×SH」では、サービス資料の確認とダウンロードが可能です。
セキュリティクラウド導入時の注意点
便利なセキュリティクラウドだが、導入したからといって、セキュリティ対策が万全になるとは言い切れない。ここでは、導入時に知っておきたい注意点について紹介する。
不正ログインの対策を行う
クラウドサービスは、事前に設定したログインIDとパスワードでログインしたうえでサービスを利用することが一般的だ。そのためログイン情報が流出すれば第三者によるログインが可能となり、情報漏えいやウイルス感染などにつながってしまう。セキュリティクラウドではワンタイムパスワードやパスワードの連続入力制限などの機能があるサービスも多いが、よりセキュリティレベルを上げるためには、定期的にパスワードを変更するなどの対策が重要だ。
職員のITリテラシーを向上させる
少し意外に感じるかもしれないが、職員のITリテラシーの向上も重要なポイントの一つだ。ITリテラシーは年代によっても差が生じやすく、そもそもクラウドサービスがどのようなものか、インターネットにおけるセキュリティリスクとは何か、などの内容について理解できていないケースも多い。ITリテラシーが低いと、うっかりパスワードを流出させてしまったり、不審なメールを開けてウイルスを広めてしまったりなどのリスクが存在する。セキュリティ対策は職員の意識改革から行う必要があるため、全体研修によって全体的にITリテラシーを向上させたい。
バックアップを取っておく
クラウドサービスの利用時はデータがクラウド上に保管されているため、データがなくなるリスクは低いと考えてしまいがちだ。しかし何らかのトラブルにより一部のデータが消失したり、利用しているクラウドサービスがサービスを終了したりする可能性も存在する。クラウドサービスに任せきりにするのではなく、リスク回避のために独自でバックアップを取っておくと万が一に備えられる。
退職者のIDは適切なタイミングで削除する
退職者のIDを削除しておくことも、注意したいポイントの一つだ。退職者のIDを削除せずそのままにしておくと、退職後もデータを閲覧できてしまう。すると、外部に漏れてはいけない情報が流出するなど、重大なトラブルにつながるおそれがある。退職者が決まった際は、事前にIDを削除する日を決めておくとよい。
セキュリティクラウド導入時の選び方
ではセキュリティクラウドの導入時には、どのようなサービスを選べばよいのだろうか。最後に、最適なセキュリティクラウドを選ぶためのポイントについて紹介する。
複数のサービスを比較検討する
先述の通り、セキュリティクラウドのセキュリティレベルや機能は各サービスによって異なっている。導入時にはつい料金体系に目がいくかもしれないが、値段が安いからといった理由だけで選んでしまうと、大きなトラブルが発生する可能性もあるため注意したい。まずは複数のサービスを見て、機能やセキュリティ体制、サポート体制などを比較することがポイントだ。比較検討することで、本当に必要な機能は揃っているか、不正アクセスへの対策レベルはどの程度なのかなど、各サービスのメリットやデメリットを把握しやすくなる。必要な機能が分からない場合は、クラウドサービス導入の目的から見直してみることも効果的だ。
総務省が掲げている「クラウドサービス事業者が行うべき主要な情報セキュリティ対策」について確認する
ただ複数のサービスを比較検討するとはいっても、具体的にどのような点に注目すべきか分からないと感じる方も多いかもしれない。そのような際に便利なのが、総務省が掲げている「クラウドサービス事業者が行うべき主要な情報セキュリティ対策」について確認することだ。クラウドサービスを提供している事業者が、以下の7つの項目について情報セキュリティ対策を適切に実施しているのかを確認することが重要だ。
<クラウドサービス事業者が行うべき主要な情報セキュリティ対策 >
◆データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策など)
◆データのバックアップ
◆ハードウェア機器の障害対策
◆仮想サーバーなどのホスト側のOS、ソフトウェア、アプリケーションにおけるぜい弱性の判定と対策
◆不正アクセスの防止
◆アクセスログの管理
◆通信の暗号化の有無
繰り返しにはなるが、セキュリティ対策や機能は各サービスによって異なっている。クラウドサービス上で扱うデータの機密性や利用するサービスによって、選ぶべきサービスは大きく異なる。そのためサービス条件などを念入りに確認したうえで、慎重にサービスを選定することがポイントだ。
業務内容に見合ったデータ容量のサービスを選ぶ
そのほか他に重要なポイントは、業務内容に見合ったデータ容量を提供しているサービスを選ぶことだ。クラウドサービスは使用できる容量が決められているため、同じサービスを長年使いつづけることで、将来的に容量が不足する可能性も十分にある。具体的にいえば、文書のみを扱うのか、それとも動画や画像なども扱うのかなどの業務の内容によって、必要な容量は異なってくるからだ。画像を多く扱う業務であれば、容量の大きなサービスやプランを選んだ方がよいだろう。また現在はそれほど容量を必要としないと考えられる場合でも、容量の追加対応の有無は確認することをオススメする。
セキュリティクラウドでセキュリティレベルを高めながら業務を効率化しよう
セキュリティ対策が充実したクラウドサービスである「セキュリティクラウド」。導入によって運営の手間やコストの削減、データ漏えいのリスク軽減などの効果が期待できる。しかしセキュリティレベルは各サービスによって異なるため、導入時は各サービスを比較検討したうえで、慎重に判断することが必要である。業務効率化のためにも、できる限りの対策を行いながらセキュリティクラウドを活用したい。
そのほかの「情報セキュリティ」に関する記事はコチラ