クラウドのセキュリティは不安？クラウドPBX導入時に知っておくべき要件を解説｜トラムシステム

コスト削減や業務効率をもたらすクラウドPBXですが「セキュリティに問題がないか不安…」と感じる方も少なくありません。統計資料でも、クラウドPBXを選択しない理由として「セキュリティ不安」が挙げられています。この記事では、クラウドPBXを活用する際に発生するセキュリティリスク、効果的なセキュリティ対策の要件と基準を解説します。

クラウドサービスの利用は年々拡大している

クラウドPBX含むクラウドサービスはあらゆる企業で導入が進んでいますが、具体的な利用状況はどうなっているのでしょうか。総務省が毎年発表している「情報通信白書　令和元年度版」の「企業におけるクラウドサービスの利用動向」から確認します。

クラウドサービスの活用方法

まず、どのようなクラウドサービスが活用されているか、なぜサービスを利用しているかを資料から読み取ります。

「クラウドサービスの利用内訳」の項目では19種類のクラウドサービスが紹介されていますが、もっとも普及しているのが「ファイル保管・データ共有」です。53.1％の企業が活用中と回答しており、前年度の51.2％よりも増加しています。活用度の高いクラウドサービストップ5は、以下の通りです。

1.ファイル保管・データ共有　53.1％
2.電子メール　52.2％
3.サーバ利用　51.0％
4.社内情報共有・ポータル　40.5％
5.スケジュール共有　38.4％

ただし、全てのサービスが積極的に活用されているわけではありません。例えば「研究・開発関係」の2.1％や「認証システム」の6.3％など、活用率が10％を下回るサービスも9種類存在しています。

「クラウドサービスを利用している理由」の項目では、主に以下の3つが挙げられました。

1.資産、保守体制を社内に持つ必要がないから　41.6％
2.どこでもサービスを利用できるから　33.8％
3.サービスの信頼性が高いから　31.9％

資産、保守体制を保有する必要がなくなり、大幅なコストダウンが可能な点がもっとも評価されました。信頼性の高さも上位にランクインしており、クラウドサービスを利用する企業のセキュリティ不安はさほど高くないと推察できます。

セキュリティ不安はクラウドを避ける理由の一つ

反対に「クラウドサービスを利用しない理由」の項目で挙げられた理由のトップ3は以下の通りです。

1.必要がない　46.0％
2.情報漏洩などセキュリティに不安がある　33.3％
3.クラウドの導入に伴う既存システムの改修コストが大きい　18.8％

「必要がない」を除くと、セキュリティ面への不安が大きな要因となっているのが分かります。前年度の38.1％より5％以上低下してますが、クラウドサービスを利用していない企業のセキュリティ不安は未だ根強いと言えるでしょう。

クラウド利用時にセキュリティが心配になる理由

それでは、なぜクラウドサービスを利用していない企業でセキュリティ不安が発生するのでしょうか。要因として挙げられるのが「セキュリティを外部事業者に委ねる構造への不安」です。

これまでのITサービスは、ソフトウェアやオンプレミスを購入し、自社で管理するのが基本でした。管理体制も内製化されており、アウトソーシングは稀だったのです。

一方、クラウドサービスはセキュリティ権限を一定以上サービス事業者にアウトソーシングするシステムとなっています。これにより、以前のITサービス管理体制を知っている社員が「外部に任せていいのか」「しっかり管理できるのか」といった不安を抱いていると推察されます。

安心してクラウドサービスを利用する方法とは

クラウドサービスを導入していない企業のセキュリティ不安を払しょくし、社員に安心して利用するよう促すにはどのような対策が必要でしょうか。ポイントは以下の3つです。

・サービス事業者と利用者それぞれのセキュリティ対象範囲を理解する
・セキュリティの基本要素を抑える
・クラウドセキュリティで特に注意すべき5つのポイントを抑える

それぞれ解説していきましょう。

サービス事業者（ベンダー）のセキュリティ対象範囲

クラウドサービスは、サービス事業者とサービス利用者が管理すべきセキュリティ対象範囲が違います。サービス事業者のセキュリティ対象範囲は、以下の通りです。

・管理ポータルのインフラ
・仮想化ハイパーバイザ
・インフラ機器
・データセンターファシリティ

インフラやデータセンターといった、企業ネットワークを下支えする機能を管理します。これらは堅牢なサービスセンターや365日行われるインフラ障害対応によって守られており、サービス利用者が管理する必要はありません。オンプレミスと比べ運用負担が軽減されるだけでなく、専門家により強固なセキュリティ体制で守られるメリットがあります。

サービス利用者のセキュリティ対象範囲

一方、サービス利用者のセキュリティ対象範囲は以下の5種類です。

・管理ポータルのIDやパスワード
・保存したデータ
・アプリケーション
・ミドルウェア
・OS

アプリケーションやOSなどは、情報システム部門などの指導の元、社員個人で行います。基本的にはサービス事業者が関知しない部分なので、どのようなセキュリティ対策を実行するか社内で協議しましょう。セキュリティ不安を抱える方に「全てのセキュリティをベンダーが行うわけではない」というポイントを理解してもらう必要があります。

セキュリティの基本要素をおさえることが重要

サービス事業者とサービス利用者が管理する範囲を把握した後は、セキュリティの基本要素を抑えましょう。基本要素をもとにプライバシーポリシーを構築すれば、セキュリティに対する不安も軽減されます。

まず必要なのが「企業にとって重要なデータは何か」を分類する作業です。あらゆる情報に厳重なセキュリティ対策を行うのは不可能なので、重要な情報をピンポイントで洗い出す必要があります。その後、サービス事業者の意見も取り入れつつ、情報の重要度に応じた管理体制や運用設備を構築しましょう。

また、情報セキュリティポリシーの再度確認も必要です。長年更新されていない場合、クラウドサービスで発生するトラブルに対応できず、業務に支障をきたす恐れがあります。クラウドサービスで利用するデータやアプリケーションの特性を念頭に置き、セキュリティポリシーを改編しましょう。

以下の図は、クラウドサービスのセキュリティポリシーを制定する際のフローを表したものです。クラウドPBXを導入する際は、このフローをもとにセキュリティポリシーを作成してください。

出典：Symantec

特に気をつけるべき5つのポイント

最後に、クラウドサービスセキュリティで特に気を付けるべきポイント5つを紹介します。クラウドサービスのリスクとそれに対する対策を明確にすれば、クラウドPBXの導入も成功します。

通信データの暗号化

公開情報でない限り、通信データはSSLで必ず暗号化しましょう。

クラウドサービスはサービス事業者がデータセンターに保管しているデータを利用するため、インターネット通信が不可欠となります。その際、データの暗号化を怠っていると、盗聴や改ざんのリスクが発生するので注意してください。SSLサーバ証明書やSSHなどを利用して、リスクを回避しましょう。

厳格なアクセス制限

ユーザー認証による厳格なアクセス制限も必要です。

事前に定義したデータの重要性をもとに、ユーザーがどのような操作(閲覧、変更、削除)を行えるか権限設定を行えば、不正アクセスやなりすましを防げます。ワンタイムパスワードやSSLクライアント認証を活用し、アクセス制限を徹底しましょう。IDやパスワードも、簡単に特定されやすいような構造に設定し、定期的に変更するようにすれば盤石です。

セキュアなアプリケーション/OSの構築

攻撃を受けた際の影響を軽減するため、セキュアなアプリケーションとOSを構築しましょう。

クロスサイトスクリプト攻撃やインジェクション攻撃など、近年はアプリケーション/OSの脆弱性を狙った攻撃が主流となっています。外部からの診断やプログラムのコードレビューを行い、脆弱な個所がないか定期的にチェックしましょう。また、攻撃や被害の発生を察知するため、マルウェアスキャンや改ざん検知の導入も検討しましょう。

バックアップ

データの流出に対処するため、バックアップ取得も行ってください。

例えば、海外にデータセンターを設置している場合、政府機関によってデータが検閲されている可能性があります。アメリカでは、FBIがデータセンターからデータを没収した事例も報告されているので要注意です。可能であれば、データの暗号化や秘密分散技術の採用を行い、バックアップを定期的に取得してください。

適切なクラウド事業者の選定

自社業務の一部を委託するクラウド事業者を適切に選定するのは、利用者の重大な責任です。

サービスが優れていても、クラウド事業者の運用体制に問題がある場合は、うまく機能しません。クラウド事業者の経営次第で、サービスポリシーの変更やサービス終了が発生する可能性もあるので注意しましょう。使用者や契約書の確認、クラウド事業者へのヒアリングを通して、業務の一部を委託する事業者にふさわしいかどうか見極めてください。

まとめ

クラウドサービスには「セキュリティ面に不安がある」という声が根強く存在してきました。しかし、それは正しい認識ではありません。適切なセキュリティ対策を実行すれば、オンプレミスよりも安全かつ低コストに運用できるのがクラウドサービスです。本記事の解説をもとにクラウドサービスを導入し、コスト削減や業務効率化を実現しましょう。