クラウドセキュリティを確保する4つのステップ

著者 Robert Half 2019 年 10 月 21 日

スタートアップ企業の多くが、事業運営にGmail、Dropbox、Skypeといったクラウドサービスを導入しています。こうしたサービスは事業コスト削減に役立つほか、使い方も簡単で用途が幅広く、使用することでいろいろな作業を他の人と協力しながら進めやすくなります。

現在は大企業ですら、自社のアプリケーションを開発するよりもこうしたサービスを導入するところが増えています。

しかし、従業員や事業にとってこうしたサービスの安全面はどうでしょうか。無料のアプリケーションが、社内ITの安全性を脅かすことはないのでしょうか。もしその可能性がある場合、脅威を最小限に抑えるにはどうすれば良いでしょう。非営利法人のクラウドセキュリティアライアンス(CSA)は、2016年に同法人が出した「危険な12の落とし穴/クラウドの重大セキュリティ脅威(Treacherous 12’ list of cloud computing threats for 2016)」のなかで、情報漏洩を一番の脅威に挙げています。上記のような大手サービス提供者は、莫大なデータを保持していることから、ハッカーの標的となりやすいという特徴があります。

情報漏洩は単なる事業損失以上の意味合いがあります。ITおよびデータの安全が侵害されればブランドを傷つけ、管轄地域によっては高額な罰金と刑事責任を含む法的責任が問われることもあります。このような事態になれば企業の評判に長年にわたり影響を与える可能性もあり、そうしたリスクを最小限に抑える方法をぜひ知っておく必要があります。

1. 明確なクラウドセキュリティ方針を定める

社内ITの安全性を守り、全体的なリスクを最小限に留めようとする場合は、厳格な安全対策方針の導入を検討すべきです。業務時間外のEメール使用を従業員に許可することによる利点のほうが防止できるリスクを上回るとしても、従業員が個人端末の企業ネットワークへの接続を希望する際には、企業の方針として、該当する端末上にパスワードや時間制の安全ロックが設定されており、安全対策機能が有効になっていることを従業員に求めるべきです。

2. ITの安全性に関してユーザー教育を実施する

安全対策用のソフトウェアを用いるだけではすべてのリスクを回避することはできません。データ損失などの被害の大多数は、人間の行動が主な原因です。こうした事例では従業員が端末を置き忘れた、盗まれた、もしくは適切なパスワードを設定していなかった、という悪意のないものがほとんどです。

安全性の侵害という面では、詐欺師が悪意をもって個人情報やクレジットカード情報を盗もうと企むソーシャルエンジニアリングやフィッシングが増えています。企業はこうした潜在的な脅威について従業員の認識を高めるよう彼らを教育することが重要です。サービスプロバイダーからも、問題が起きた時の対処法などと共に提供するサービスに特化した安全ガイドが提供されています。

3. 各プロバイダーについて事前に良く調べる

主要なプロバイダーであれば、24時間体制で安全対策担当者を待機させ、一般企業をはるかに上回る予算を安全対策に宛てているものです。しかしながらそうした大手ですら対策に失敗することはあります。GoogleドライブもDropboxも、個人情報が第三者に読み取られたり、検索エンジンにインデックス*されたりといった脆弱性を有しており、こうしたことは社内ITの安全性にとって大きな脅威になり得ます。

送信時のデータを保護するSSL暗号化や、不正アクセスを防ぐ2要素認証などのより強力な安全対策を提供するプロバイダーを探しましょう。ユーザーアクセス記録およびセキュリティ警告などの機能も備えていることが理想です。

4. 企業データの利用を監視し、常に目を光らせておくこと

従業員が個人のEメールアカウントや端末を仕事に使うようになり、オンライン上の行動を監視することがだんだんと難しくなっている上、監視を強化すればプライバシー関連の問題が発生する可能性もあります。しかし雇用者側としては従業員が「企業データ」をどう扱っているかについてはきちんと把握しておく必要があります。どこからどのようにデータへアクセスし、それをどこに保存・送信しているかという点が重要です。

ファイル類を安全かつアクセス可能な企業クラウドストレージのアカウントに確実に保存しておけば、従業員がどこかへ持ち出してしまうリスクを抑えることができます。アクセス記録を定期的に確認することも重要です。ユーザー自身が個人端末が不正にアクセスされていることに気が付いていない場合もあり得ます。

安全対策の将来についてCSAは「ユーザーからアプリケーション、端末からサービスにいたる全行程を個別に守り固めていくこと」が大切であるとしています。

従って、誰かが使っている特定の端末を対象に、また従業員に求められる端末の使い方を対象に安全対策に関するガイダンスを実施することが重要です。職場でのみ使用されるノートパソコンと、自宅に持ち帰るタブレット端末とでは、伴うリスクに非常に大きな差があります。従業員が当事者意識をもってリスクを理解するように教育するとともに、リスク回避の優良事例も紹介します。企業の安全対策戦略においては、従業員の一人ひとりに積極的に関与してもらう必要があります。

ITリスクおよび安全対策に対処できる人材が必要な場合、もしくは適切な人材を選ぶためのお手伝いが必要な場合は、今すぐ弊社までご連絡ください.

ブログからもっと見る。。。