「クラウドを利用していれば、セキュリティーも大丈夫だろうと考えている企業も多いように見受けられます。しかし実際には、事業者にすべてを任せられるわけではありません。この点には十分注意する必要があります」こう指摘するのは、立命館大学の上原 哲太郎氏だ。

　そもそも、情報システムとして見た場合には、クラウドとオンプレミスに大きな違いがあるわけではない。例えばIaaSであれば、確かにハードウエアを意識する必要はなくなる。しかし、それ以外の部分については、オンプレミスと同様の手当てが必要だ。また、PaaSを自社サービスで使っている場合には、クラウド側の仕様変更などに随時追従しなくてはならない。さらにSaaSについても、利用時の各種設定については自社で行う必要がある。

　「サービスによって責任分界点が違うだけで、基本的にはオンプレミスと同じように考えることが重要です。クラウドだからといって脆弱性が無くなるわけではありませんし、システム停止やデータ喪失が起きないわけでもありません。事業者が責任を負ってくれない領域については、自社で責任を持って対処する必要があります」と上原氏は続ける。

　ビジネスのデジタル化が進む中、セキュリティーの重点もこれまでとは変化している。上原氏は「情報セキュリティーを構成する要素には『機密性』『完全性』『可用性』の3つがあります。これまでの考え方では、機密性に重きを置くことが多かった。しかし、システムが止まってしまったら、事業活動そのものに甚大な影響が生じます。企業のDXが進むほど、可用性をどう担保するかが重要になってきます」と説く。

　実際に、クラウド上に構築したシステムの障害によって、業務停止に追い込まれた企業もある。「こうした事態に備えて、ICT-BCPの中にクラウド上の重要システムが停止した際の対応を盛り込んでおくべき」と上原氏は強調する。

　また、単なる障害であれば復旧を行えばいいが、それだけでは済まないときもある。例えばデータ喪失が発生した場合はその1つだ。事業者側の作業ミスやシステムの不具合、あるいはランサムウエアなどによるサイバー攻撃によって、クラウド上のデータが喪失してしまった事案も発生している。

　「事業者側でバックアップサービスを提供している場合もありますが、本当に大事なデータはやはり自分で守るべきです。そこでポイントとなるのが、3つのコピーを2種類のメディアに記録し、1つをオフラインに置くという『バックアップの3-2-1ルール』です。クラウド上のデータを自社の設備や別のサービス、あるいは遠隔地保管などを行うことで、万一の事態にも対処できるようになります」(上原氏)

　さらに厄介なのが、クラウドサービス自体が高度な攻撃によって被害を受けた場合だ。もちろんユーザーにも大きな影響が及ぶが、かといって何かできることがあるわけでもない。「それでも事故前提の備えは必要ですので、できるだけ信用の置けるサービスを選ぶようにしたい。ISOやISMAPなどの認証を取得しているかどうかが、その判断基準の1つとなります」と上原氏は話す。

　また、近年利用が広がっているSaaSについては、アカウント管理が重要なカギとなる。サービスによってアカウントの形態は様々だが、特に問題となるのが1つのアカウントを複数ユーザーで共用している場合だ。これだとアカウントの窃取や情報漏洩のリスクが各段に高まってしまう。同様にアクセス権限の設定についても、細心の注意が必要だ。

　「しかもSaaSは簡単に利用できるサービスも多いため、情シス部門の管理下にないサービスが勝手に導入されているケースもあります。これはガバナンス上も大きな問題ですので、早期に検知して適正な利用を促すことが求められます」と上原氏。クラウドの安全な利活用を目指す上では、これらの点を今一度見直すことが必要といえそうだ。