前回までのあらすじ
テレワークの導入がなかなか進まない理由としてセキュリティ上の問題が挙げられており、セキュリティ上の問題とは何か推測するに3つの問題があるのではないかと考えました。
今回は、その3つ目であるクラウドサービスを使ってデータを保管しても安全なのか、セキュリティ上の注意点や解決策についてまとめたいと思います。
便利な便利なクラウドサービス
クラウドサービスといえば、Google系のサービス、ファイル共有サービス(Dropbox、Evernoteなど)など今ではたくさんのサービスがあります。
クラウドサービスの利便性と利用している組織にもたらすメリットは計り知れません。
では、それらのサービスは果たして安全と言えるのでしょうか?
クラウドサービスの利用や、機密情報をクラウドストレージに保管することが安心できないと感じる企業がまだまだ多いと思いますので、情報が他者に盗まれないかという点について解析していきます。
絶対安心はあり得ない
まずは、このことを念頭に置く必要があります。
皆さんの記憶にも新しいFacebookの個人情報流出の事件は、原因はサイバー攻撃ではなく、ユーザーが性格診断アプリを利用して発生しました。
サービス提供側に非があると私達(ユーザー)は考えがちですが、実はほとんどの原因はユーザーだと言われています。
今年の6月にInteropというIT関連のビッグイベントに参加したときにその話を聞きました。
参加して、マカフィーの基調講演「デバイスからクラウドまで守るセキュリティ〜デジタル変革の推進に向けて〜」を聞いてきました。
この講演でへぇ〜と感じたのが、クラウドサービスのセキュリティというのは、サービス提供側ができることとユーザー側ができることに分かれているということ。
そして、サービス提供側はプロの集まりですから、自分達ができるセキュリティ対策は万全なわけです。
じゃあユーザー側はどうなのかというと、必ずしも推奨される使い方をしていないことや、ルールを守らない方がいたりで、そこを不審者に攻められるとのこと。
ですので、情報漏洩のほとんどは、ユーザー側の設定の甘さやそれぞれのユーザーの使い方による原因が大半のようです。
何か情報漏洩っぽいことがあった時のために、サービス提供側は責任分界点を明確にしなければ「お前らが悪い!」と言われて泥試合になりますから、予めユーザーに責任分界点を伝えていることでしょう。
ユーザー側が正しく機能を理解し、使わなければ設定の隙を突いたサイバー攻撃を受けかねません。
推奨される使い方の実践を目指しながら、ユーザー側でどんなことに気をつけていくべきか考えてみましょう。
ユーザー側のセキュリティリテラシーの向上
まずはどんな驚異があるか知ることから始まります。
代表的なものを総務省の資料から引用いたします。
マルウェア、DDos攻撃、標的型攻撃(メール)、ランサムウェアがみなさん一度は聞いたことあるサイバー攻撃かと思います。
- マルウェア(Malware): Malicious softwareの短縮語。コンピュータウイルスのような有害なソフトウェアの総称
- DDoS攻撃: 分散型サービス妨害攻撃(Distributed Denial of Service)のこと。多数の端末から一斉に大量のデータを特定宛先に送りつけ、宛先のサーバ等を動作不能にする攻撃
- 標的型攻撃: 機密情報等の窃取を目的として、特定の個人や組織を標的として行われる攻撃
- 水飲み場型攻撃: 標的組織が頻繁に閲覧するウェブサイトで待ち受け、標的組織に限定してマルウェアに感染させ、機密情報等を窃取する攻撃
- リスト型攻撃: 不正に入手した他者のID・パスワードをリストのように用いてWebサービスにログインを試み、個人情報の窃取等を行う攻撃
- ランサムウェア (Ransomeware): 身代金要求型ウイルスのこと。感染端末上にある文書などのファイルが暗号化され、暗号解除のためには金銭を要求される攻撃
出典:総務省ホームページ (http://www.soumu.go.jp/main_content/000467154.pdf)
この他にもこれから新しい手法がでてくるでしょうし、いたちごっこになることは致し方ないことです。
それでもそれらの驚異と戦いながらもクラウドサービスを利用するのは、クラウドサービスのメリットが大きいからです。
クラウドサービスのセキュリティ向上に向けて
ユーザーのセキュリティリテラシーをあげるとともに、WAF(Web Aplication Firewall)と呼ばれるサービスでクラウドサービスにおけるリスクを減らすことができます。
WAFとは、ネットワークを通じた外からの攻撃を守ってくれるセキュリティシステムです。
よく聞かれるファイアウォールがネットワークレベルのセキュリティシステム。
不正侵入検知・防止システム(IPS/IDS)が通信パケットやサーバ上の受信データやログの監視、改ざんの防止。
WAFがWebアプリケーションの脆弱性を保護、無効化する役割があります。
それぞれ詳しく書くことは割愛しますが、まずはWAFというシステムがあるということを知るだけでも一歩前進できるかと思います。
そのほかにも、クラウドストレージサービスでアップロードしたファイルが暗号化されているかも重要な確認ポイントです。
万が一盗まれるようなことがあっても、ファイルそのものが暗号化されて入ればリスクを低減できますので、クラウドサービスを利用する時に合わせて確認したい事項です。
まとめ
これまで3回にわたって、テレワーク導入のためのセキュリティ上の問題点、および解決策について書いてきました。
導入障壁がたくさんあり、テレワーク導入に後ろ向きになってしまった方もいるかと思います。
しかし、これまで紹介したリスクをしっかり把握し、サービス提供会社とこれらの対策をとり、個人のセキュリティリレラシーをあげてでも、テレワークの実現、クラウドサービスの導入を目指すべきだと私は考えます。
全ての社員が同じ場所に集まって仕事をするというのは、社員同士のコミュニケーションや情報共有が可能なため基本的には必要なことですが、全ての会社が全ての勤務時間にそうあるべきではありません。
午前中だけテレワークにし、午後から出社にするだけで通勤電車のストレスはなくなるわけです。
まずは外でも仕事ができる環境やルールを検討し、ゆっくり導入していくのが良いでしょう。
社員一人ひとりのセキュリティ意識の向上も必須ですから、サービスの導入とセキュリティに対する意識向上を進めて行きテレワークが少しでも導入されていけば良いなと思います。
