今や主流となりつつあるクラウドサービス。
様々な利点がある中でも気になるのは個人情報を取り扱う際のセキュリティ問題です。
本記事では、個人情報を安全にクラウドサービスで利用する際に抑えるべきポイントを6つご紹介いたします。
<目次>
IAM(Identity and Access Management)の利用
IAMは、クラウドサービスであるAWS(Amazon Web Service)の中の機能の1つです。IAMによって社内外からの不正アクセスやサイバー攻撃を防ぎ、セキュリティを高めることできます。
IAMの代表的な使用方法は、AWSアカウント管理です。AWSへログインするためのID・パスワードを、IAMにより発行や管理ができます。
他にも、ユーザーがAWS内で実施できる機能を制限することが可能です。利用しない機能を制限することで、パスワード情報の流出による被害を最小限に抑えることができ、ユーザー誤操作による情報漏洩も防ぐことが可能です。
例えば、エンジニアの場合はサーバーやデータベースの構築サービスのみを利用し、経理部門は請求に関する機能のみを使用します。このように、業務上利用しない機能がある場合、IAMの設定によりシステム上で機能制限してしまいます。
IAMの管理は個人のユーザーだけでなくグループやモノに単位で管理できます。一般的な企業の部署では入社・退社や定期的な人事異動が発生し、アカウント管理が煩雑になりかねません。また、人事異動後にも旧部署の情報が参照できると、不正に情報を入手される場合があります。これに対して、IAMは部署ごとに権限管理が可能であるため、ユーザーを該当部署のグループに所属させるだけで権限を変更できます。
さらに、サーバーやデータベース自身の機能管理が可能です。サーバー等に不正ログインされた場合、サーバーが知らないメールアドレス宛に数千件のメールが送付される場合や、マイニング・サイバー攻撃の踏み台サーバーとして利用されてしまいます。サーバー自身が実行できる機能を制限し、期待する動作しかしないように設定しましょう。
このように、IAMを利用してユーザーやモノに対する機能を最小限に制限することで、自社のセキュリティを向上させることが可能です。
MFA(多要素認証)の利用
クラウドのMFA導入はセキュリティ対策として有効な手段の1つです。MFAを設定すると、クラウドサービスのログイン時にID・パスワードに加えて、自身のスマートフォン等で表示される番号(トークン)を入力しないとログインができないようになります。
例えば、従業員がパソコンを紛失した場合、ID・パスワードをブラウザのパスワード保存機能で取得されると簡単に不正ログインが可能です。また、カフェ等の社外ではショルダーハックのようにID・パスワードを盗み見てアカウントに不正ログインされてしまします。
MFAを利用すると、ID・パスワードが流出した場合でもスマートフォンで多要素認証しない限りアカウント内へログインができません。クラウドのセキュリティ向上のためにMFAを積極的に利用しましょう。
ちなみに、認証方式で誤解されやすい単語が「二段階認証」と「二要素認証」の違いです。これらの単語は似ていますが、厳密には違うので注意しましょう。
関連記事 二要素認証と二段階認証の違い
エンドポイントの安全性確保
EPP(Endpoint Protection Platform)やEDR(Endpoint Detection and Response)/XDR(Extended Detection and Response)を利用し安全性を高めることが可能です。EPPやEDR/XDRはセキュリティ製品としてサーバーやパソコン端末にインストールすることで利用できます。
EPPは、マルウェア感染を防止することに特化した製品です。自社内のネットワークに侵入したマルウェアをEPPが検知し、マルウェアに感染する前に駆除をします。EDR/XDRは、EPPとは異なりマルウェア感染後の対応を支援する製品です。
近年のサイバー攻撃手法は日々進化しており、既存のパターンマッチングによるセキュリティ対策では完全に防ぐことが難しくなってしまいました。これまでのセキュリティ製品では侵入防御が対象でしたが、EDR/XDRでは侵入後の対策が可能です。例えば、パソコンやサーバーの通信内容を監視し、不審な挙動があった場合に管理者へ通知します。さらにログを元にマルウェアの侵入経路や対応方法の提供を行います。
EPPやEDR/XDRは、クラウド上の端末にも導入可能です。AWSではサードパーティー製品としてインストールな製品があります。感染前対策のEPPと感染後対策のEDR/XDRを正しく理解・導入して、自社のセキュリティ向上に取り組みましょう。
暗号化を行う
セキュリティを向上させる手段としてデータの暗号化があります。暗号化とは、データの内容を他人には解読できないような状態に加工することです。第3者がデータを不正に入手した場合でも、暗号化されていれば読み取られることはありません。
セキュリティを向上させるには、それぞれの場面でデータを暗号化させることが重要です。それでは、暗号化をするべき3つのタイミングを見ていきましょう。
保存時
データの保存時に暗号化を行います。データを保存する際に暗号化をして、ユーザーがそのデータにアクセスすると複合化されたデータが表示されます。データ1つひとつを暗号化する場合もありますが、ストレージ自体を暗号化できるため、セキュリティを高めることが可能です。
転送時
通信時のタイミングでも暗号化は可能です。データを暗号化して通信するSSL/TLSを利用します。皆さんもホームページ等を閲覧する際は、意識せずにTLS/SSL通信を利用しているはずです。このように、ユーザーからサーバー間のデータの送受信を暗号化することで、個人情報の流出やデータ改ざんを防いでいます。
利用時
データの利用中もデータの暗号化が可能です。パソコンやサーバーがデータを処理する場合は、ストレージからメモリへ一時的にデータを保持させます。その際のデータは暗号化されていません。
近年、データ処理中の暗号化されていない部分を狙ってマルウェア感染させるウイルスが発見されています。この対策として、常に暗号化したままデータが処理できる「コンフィデンシャル・コンピューティング」を利用して、セキュリティを確保します。
特異点検出
セキュリティを安定して確保するには特異点検出も欠かせません。特異点検出とは、操作ログやシステムログから、自社のセキュリティを脅かすような特定のパターンを検出することです。特定のパターンとは、例えば「機密情報を閲覧したログ」や「システムログインに必要なID・パスワードを3回連続で間違えた」などが挙げられます。
クラウドサービスでは、ユーザーの行動を監視し、特異点検出が可能です。AWSでは、CloudTrailとCloudWatchというサービスを組み合わせて特異点検出を行います。CloudTrailは「誰が、いつ、何に対して、何をしたか」が常に記録されています。
そこに、CloudWatchの「特定ログが検知された場合にメール等で検知アラートを出力」する機能を用いることで特異点検出が可能です。
また、より安全性を高める選択肢としてAmazon GuardDutyやSplunkがあります。Amazon GuardDutyは機能を有効化するだけで、機械学習による脅威検出が可能です。Splunkは統合ログ管理ソフトウェアと呼ばれ、サーバーやネットワーク機器のログを収集・分析・インデックス化を実施、これにより管理者は攻撃の前兆をいち早く検知できます。
このように、特異点検出を用いて攻撃の前兆を見つけ、攻撃される前に対策することが重要です。
AWS Systems Managerの利用
AWS System Managerは、AWSの統合管理サービスです。サーバーやデータベース等のインフラリソースを一括管理することで、セキュアなサーバー接続やパスワード紛失、セキュリティ対策漏れを防ぐことができます。
例えば、鍵認証無しでサーバーへセキュアにログインでき、システムパスワードをサーバー内の環境変数に直接記載せずに運用することが可能です。また、OSやアプリケーションのパッチの検査・適用も自動で行い、常に最新の状態でシステムを運用できるようになります。
さらに、AWS System MangerはAWS上のリソースだけでなく、オンプレミス環境のリソースも管理が可能です。これにより、ハイブリッドクラウド型の企業であれば、オンプレミス環境の安全性確保も期待できます。
まとめ
本記事では、クラウドで個人情報を安全に利用する6つの方法をご紹介しました。個人情報が流出してしまうと、損害賠償を支払うだけでなく、これまで積み上げてきた企業の信頼やブランド力も失ってしまいます。
今回紹介したポイントを押さえて、個人情報を守りながらクラウドで安全なシステム運用を行いましょう。
