クラウドサービスの利用による情報漏洩のリスクとは?導入時の注意点などを解説

システムの利用にあたり、パソコンにソフトウェアのインストールを行い、その端末内あるいはローカルのネットワーク内で特定の機能を利用するのがかつての主流でした。
しかし今ではどの企業もインターネット環境を備えるのが当たり前になっており、クラウドサービスの利用を通して様々な業務システムを導入する例が増えています。
とても便利なクラウドサービスですが、導入に際しては情報漏洩のリスクも理解しておくことが大切です。

目次

クラウドサービスの利点とリスク

クラウドサービスはインターネット経由で利用ができるため、オフィスの場所や各従業員の所在地などと関係なくサービスの提供を受けられます。

そのため在宅勤務に向いていますし、外出先などでもネット環境さえあれば社内システムにアクセスすることも可能となります。

また、このクラウド型とよく対比される「オンプレミス型」だと初期費用が高くつくケースが多く、大きなシステムであるほど導入ハードルが高くなってしまいます。
この点、クラウド型には初期費用が比較的小さく抑えられるといった利点があります。ランニングコストが発生しますので必ずしもコスパが優れているとも言えませんが、その分常に最新バージョンでシステムが利用できますし、自社でシステムの管理・維持を行う必要がなくなるというメリットも得られます。

しかしながら、データ等を社外に出すことになってしまいますので、情報漏洩やデータ紛失などのリスクがあるのも確かです。
例えばクラウドサービス事業者へのサイバー攻撃が起こることでデータが外部に漏れてしまったり、障害が発生して預けていたデータが復旧できなくなったりといった問題が起こり得ます。
オンプレミス型であっても同様のリスクはあるため、クラウド型で特に大きなリスクになるということではありませんが、クラウドサービスにもリスクがあることを認識して、対策を講ずることが大切です。

クラウドサービスの利用で情報漏洩が起こるケース

クラウドサービスを運用し続ける中で、どのようなケースで情報漏洩が起こるのかを以下に示します。

クラウドサービス事業者へのサイバー攻撃

1つは、システムを管理しているクラウドサービス事業者に対するサイバー攻撃が原因となるケースです。

いくら自社がサイバー攻撃に強くても、サービスを提供する事業者側が脆弱だとサイバー攻撃による損失を受けてしまうおそれがあります。

アカウント情報が漏洩したことによる不正ログイン

クラウドサービスを利用する際は、アカウント情報を使ってシステムへログインを行います。

しかしこのアカウント情報が知られてしまうと、不正ログインをされてしまい、その結果情報漏洩の被害を受ける可能性があります。

IDやパスワードの使いまわしがある場合には被害がさらに拡大してしまうおそれがあり、複数のシステムから情報漏洩が起こってしまうかもしれません。

社内担当者によるクラウドサービス上での設定ミス

システム自体が堅牢であっても、ユーザーである自社側での操作ミス等をなくすことができなければ情報漏洩を防ぐことは難しいです。

例えば本来“非公開”とすべき情報を、クラウドサービス上の設定で“公開”にしてしまうと、第三者は不正ログインなどせずとも世界のどこからでもその情報が閲覧できてしまいます。

その他人為的なミスがあると、どれだけシステムのセキュリティ水準が高くても情報漏洩は防ぐことができません。

クラウドサービス導入時の注意点

以上の問題を踏まえ、クラウドサービスを導入する際には以下の点に注意を払うようにしましょう。

システムのセキュリティレベルや保証範囲の確認

第一に、システムのセキュリティがしっかりとしているのかどうか、サービスや事業者の選定を慎重に行うということが大切です。

どのようなセキュリティ機能が備わっているのか、万が一の事故に対してどのような保証がなされているのか、そしてその範囲についても利用規約等を確認して事前に把握しておかなければなりません。

その他細かな確認すべきポイントとして以下が挙げられます。

  • データのバックアップ機能
  • 不正アクセスの防止措置
  • アクセスログの管理機能
  • 暗号化に関する機能
  • データセンターのセキュリティ対策

データセンターに関しては、サイバー攻撃のみならず、物理的なセキュリティ対策がどれだけ講じられているのかも重要な観点です。
例えば地震などの災害対策がどれだけ取られているのか、といったことです。

そして、これらの情報とサービスの有用性、そしてコスト等を総合的に勘案して導入するクラウドサービスの選定を進めていきましょう。

クラウドサービスに関する社内での運用体制を整える

クラウドサービス側の安全性と同等以上に、自社での運用体制についても見直しを行うことが大切です。

アカウントの管理、システムの利用方法、アクセス制限、セキュリティポリシーの策定などをしっかりと行い、故意による情報漏洩が起こらないことはもちろん、人為的なミスを防ぐための仕組みづくりも進めていきましょう。

テレワークに関する対策等についてはもこちらもご参照ください。