ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

企業の競争力強化に必要なクラウドの現状
~クラウドのリスクと向き合う~

現在、企業の成長戦略にIT戦略は欠かせない非常に重要な要素ですが、近年はこれにクラウドの活用が重要なポイントになっています。ワークスタイル改革、生産性向上、競争力強化、コスト削減、グローバライゼーション、M&A 戦略などの 課題にクラウドを活用する必要性が高まってきています。しかしながら、国内の企業で実際にクラウドを利用している企業は全体では約33%です。さらに、全社的 にクラウドを利用している企業は 15%です。クラウドの利用メリットやクラウドの利用の障壁になっている事項などをまとめてみます。

クラウド利用状況

日本国内におけるクラウド利用状況を見てみましょう。

日本国内でのクラウドサービスの利用状況は、平成23年度で全社的に利用しているユーザが9.2%、平成24年が13.6%、平成25年度で15.0%となっています。また、一部の事業所や部門で利用しているユーザは、平成23年度で12.4%、平成24年度14.7%、平成25年度で18%となっています。

いずれの利用率も年々確実に伸びてはいますが、全社的に利用している企業はまだ全体の15%にとどまっているのが現状です。また、全社導入しているユーザよりも、一部事業所や一部の部門で利用しているユーザの利用率の方が数ポイント上回っています。これは、クラウドサービスの特徴が良く表れている結果だと思われます。

日本国内におけるクラウド利用状況

「平成24年通信利用動向調査」「平成25年通信利用動向調査」(総務省統計局)
(http://www.soumu.go.jp/main_content/000230981.pdf)を加工して作成

資本金規模別利用状況

では企業規模別の利用状況はいかがでしょうか?平成25年度で資本金50億円以上の企業の利用率が58.2%と最も高く、次に高いのは資本金5億円-10億円の企業で49%です。クラウドサービスは「持たないIT」と言われ、中小規模の企業の利用が多い認識もありますが、この調査結果では、大企業の方が利用率が高く、且つ、50億円以上の企業の半数以上がクラウドを利用していることが分かります。

資本金規模別利用状況

「平成24年通信利用動向調査」「平成25年通信利用動向調査」(総務省統計局)
(http://www.soumu.go.jp/main_content/000230981.pdf)を加工して作成

産業別利用状況

産業別の利用状況です。こちらの調査結果も意外な結果です。利用率が一番高い産業は金融・保険業で43.5%の企業が利用しています。金融業は他の産業に比べ、個人情報や機密情報の取り扱いが厳しく、クラウドは倦厭されるイメージがありますが、利用促進されています。銀行でのIaasの利用事例もあり、安全を確保しながら活用されている状況が窺えます。

産業別利用状況

「平成24年通信利用動向調査」「平成25年通信利用動向調査」(総務省統計局)
(http://www.soumu.go.jp/main_content/000230981.pdf)を加工して作成

日米クラウド利用状況比較

クラウドサービスの多くが米国ベンダーにより提供されていることから、米国での利用が促進されていることが予測できます。 では、実際の利用状況はどうなのでしょうか? 平成 24 年度の調査における利用率は、米国は70.6%、日本は42.4%、米国は 7 割を超える 企業が利用していますが、日本企業は半分以下となっており、利用率の差は歴然としています。ただし、大企業の分類では、米国の利用率は82%、日本の利用率は62%でその差は全体の利用率より小さくなっています。

日米クラウド利用状況比較

「平成24年通信利用動向調査」「平成25年通信利用動向調査」(総務省統計局)
(http://www.soumu.go.jp/main_content/000230981.pdf)を加工して作成

利用内訳

国内の利用ユーザはどの様なサービスを利用しているのでしょうか? 利用が最も多いサービスは、電子メールで 50%となっています。 Office365やGoogleAppsも確実に企業利用に浸透していることがこの様な背景がこの数値に反映されていると想定されます。次に多く利用されているのが、ファイル保管・データ共有サービスで、45.6%となっています。メールサービスやデータ共有サービスは、社外とのデータの交換となるので、クラウドサービスの メリットが享受しやすく、且つ、いずれもデータを外部に送信するアプリケーションなので、クラウ ド化の障壁が少ないのかもしれません。

国内ユーザ利用内訳

「平成24年通信利用動向調査」「平成25年通信利用動向調査」(総務省統計局)
(http://www.soumu.go.jp/main_content/000230981.pdf)を加工して作成

クラウド利用メリット

クラウドサービスの利用のメリットは何でしょうか?クラウドの特徴としては、「資産を持つ必要がない」「自社でシステム運用する必要がない」「どこからでもアクセスできる」などが一般的に言われていますが、実際に利用しているユーザはどの様な点を理由にクラウドを利用しているのでしょうか?

総務省が発表している統計によると、上位に占める項目に、コストに関連する項目が多くなっており、コストメリットで導入を判断している企業が多いです。また、信頼性や可用性、拡張を理由にクラウドを選択しているユーザの割合も多く見られます。

クラウド利用メリット

「平成24年通信利用動向調査」「平成25年通信利用動向調査」(総務省統計局)
(http://www.soumu.go.jp/main_content/000230981.pdf)を加工して作成

クラウド利用懸念

反対に、クラウドを利用しない理由にはどの様な要素があるでしょうか?

調査結果で一番多いのが、「必要がない」42.8%。必要がないということは現状のオンプレミスのシステムで十分に業務ができており、不足や不満がないと予測できます。

2番目に大きな点は、「情報漏えいなどセキュリティに不安がある」37.4%。やはり、自社管理している情報資産を外部に預けることに対するセキュリティの懸念が大きくなっています。

クラウド利用懸念

「平成24年通信利用動向調査」「平成25年通信利用動向調査」(総務省統計局)
(http://www.soumu.go.jp/main_content/000230981.pdf)を加工して作成

クラウド活用は企業競争力強化に不可欠

企業のIT部門の方も実際に、事業部門からクラウドの利用の要望が多く寄せられている状況かと思います。

企業の競争力強化の為、生産性の向上、コストダウン、スピードアップ、ワークスタイル改革、グローバル対応などに対応する為、クラウドの活用は不可欠ではないでしょうか?

セキュリティ懸念や、リスク回避を優先しすぎて、クラウドを一切利用しない。と言う選択は、企業の競 争力を強化するという、ビジネス側面の判断からは、できなくなってきているのが現状です。

しかしながら、先述の調査にもある通り、セキュリティの懸念も多く、多くの企業でまだ利用ガイドラインやセキュリティガイドラインが整備されていないケースも多く見受けられます。

ここで、クラウド活用においてのセキュリティについて考えたいと思います。

クラウドセキュリティの考え方

「クラウドなんか怖くて使えないよ」
「クラウドに自社の機密情報なんか預けられないよ」
「アメリカのクラウドにデータ預けたら、全部見られるんでしょ」
など、クラウドに関しては、さまざまな誤解も含んだ不安が多いのが現状です。

クラウドを利用するということは、従来社内で管理していた情報資産を社外に出すことですから、セキュリティ対策についても、従来とは違う考え方が必要です。

しかし、クラウドを利用すること=どんなクラウドでも利用する、どんなデータもクラウドに保管する、どんな使い方をしても良い、と言うことではありません。どんなクラウドを利用するか?どのデータを保管するのか?どの様な利用方法をするのか?など、必要に応じて選択して利用するのが現実的です。

クラウド利用時に考慮すべき 4 つのリスク

クラウドを利用する場合、社内情報資産管理における従来のセキュリティの観点とは違ったセキュリティ対策・リスクの考え方が必要です。クラウド利用時のリスクの考え方は下記の4つにまとめられます。

1.インバウンドリスク

社外から社内へのデータの流れによるリスクです。具体的には、下記の2点が挙げられます。

  • 感染されたサイトへのアクセスによる端末の感染(水飲み場攻撃)
  • クラウドから感染されたファイルのダウンロードによる端末の感染

これらのリスクへの対策は、従来のネットワークセキュリティの対策と同じ対策で対応できます。いわゆる入口対策として、FireEyeなどのサンドボックスやゲートウェイセキュリティで対応が可能です。しかしながら、クラウドサービス自体が上記の様な自社のサイトの感染の対策は情報開示、保管されるデータの感染対策をどの様に実施しているのか?を確認することも大事です。

2.アウトバウンドリスク

この点はいわゆる情報漏えい対策になります。情報漏えい対策については、従来から様々な対策を実施されていると思います。しかしクラウド利用の時点で考慮しないといけないのは、どの段階でどんな対策を実施するか?という点です。

例えば、DLP(Data Loss Prevention)機能を利用する場合、従来は企業の出口にDLPを設置してそこから外に出ていく情報の監視、制御を行っていましたが、クラウドを利用する場合は社内と社外の境界線だけではなく、クラウドサービスから外で出ていく部分を監視、制御する必要があります。

対策としては、クラウドサービス自体の機能として、DLPの機能を有しているか?ファイルアクセスに関する権限管理が十分にあるか?また、ファイルのアクセスや移動に関するログが十分に管理できるか?などのポイントがあります。クラウドサービス自体の機能が十分でない場合は、DLP機能を付与したり、ファイルアクセス権限を管理します。また、クラウドに保管する情報を暗号化するなど、別の手段でもセキュリティ強化を検討する必要があります。

3.クラウド自体のリスク

利用するクラウド自体が安全なクラウドかどうか?見極める必要があります。 まず、確認できる事項として、クラウドサービス自体が、どのよう様な認証を取得しているか?ということが挙げられます。米国の大手クラウドサービスでは、SSAE16 の認証を取得しているベンダーが増えてきています。また、業界に準じたPCI DSSやHIPPAなどの取得の確認をすることも重要です。

データセンターやサービス全体のセキュリティ管理は上記のような公的認証の取得で確認ができますが、詳細な機能面まで確認することは容易ではありません。また、テクニカルな面だけではなく、利用規約などの確認も重要になります。 現状は、クラウドを利用する企業の IT 部門やセキュリティ部門が、自らそれらを確認するしか方法は ありません。 しかし、これは非常に労力と時間のかかる作業です。また、日進月歩するクラウド サービスに対して、各企業が実施するのは効率的ではありません。 対策としては、クラウドサービス自体を全般的に、管理、評価するサービスを活用することで、クラウド自体のリスクを効果的に、効率的に対応できます。

4.境界線が変わるリスク

クラウド利用の一番大きな変化は、情報資産を社外に保管するという点です。この点は、従来のセキュリティ対策の観点である境界線保護の観点を大きく見直す必要があります。社内外の境界線を守る、社内のサーバ群と社内ネットワークの境界線を守るという考え方を変える必要があります。企業の情報資産の境界線は、社内と社外ではなく、利用しているクラウドの内側と外側を考える必要があります。ただし、クラウドセキュリティのガイドラインの整備状況は、企業において様々で、これから各企業が注力していく分野と思われます。

情報資産の境界線とリスク

境界線が変わることによるセキュリティ対策は、まずは認証による保護があります。情報資産保護の境界線がクラウドサービスとなりますので、保護対策はゲートウェイ対策だけではなく、認証による情報資産のアクセス管理を行うことが一つの対策となります。

また、認証情報管理自体の再検討も必要です。現状、ほとんどの企業は認証基盤を社内に持っています。これらの認証基盤を利用してどのように社外のクラウドサービスの認証を行うのか、検討が必要です。

また、先に触れたDLPなど、情報漏えい対策の考え方も変えなければいけません。社内から社外に出る情報を管理、制御するのではなく、クラウドから外に出ていく情報を管理、制御する方法が必要です。 この対策は、クラウドサービス自体にそれらをカバーする機能が必要です。具体的には、アクセス管理・制御が十分か?DLP機能が十分か?ファイルアクセスやファイル移動などのアクティビティがログとして管理できるのか?という機能が必要になります。 また、クラウドサービス自体にそれらの機能が十分にない場合は、それらのセキュリティ機能を付加するサービスを検討する必要があります。

  リスク クラウド対策のポイント 対策
インバウンドリスク
  • クラウドサービス自体の感染(水飲み場攻撃)
  • 感染されたファイルのダウンロード
  • 従来のセキュリティ対策と同様
  • FireEye等サンドボックスによる入口対策
アウトバウンドリスク
  • 社内機密情報漏えい
  • 個人情報漏えい
  • 機密情報や個人情報など重要な情報のアップロードのモニタ
  • マルウェアなどによるデータのクラウドサービスへのアップロードのモニタ
  • 利用ユーザのアクティビティモニタ
  • 以上なデータアップロードのモニタ
  • クラウドサービス自体のDLP機能
クラウド自体のリスク
  • クラウドサービス自体のリスク
  • 公的認証取得の確認
  • 利用規約など法務リスクの確認
  • セキュリティ機能やユーザ管理機能など詳細の機能の確認
  • クラウドサービス評価ソリューションの利用
境界線が変わるリスク
  • 情報資産が社外に保管されるリスク
  • 社外システムの認証情報管理
  • 社内外のGW対策では対応できない
  • 社外クラウドサービスの認証対策
  • 認証による、社外情報資産の保護
  • SAMLなど社内認証基盤とクラウドサービスとの認証連携
  • クラウドサービス自体に十分な対策機能を有しているか?
    -DLP機能
    -暗号化機能
    -アクセス権限管理
    -詳細なアクティビティログ管理機能

クラウドサービスならではの安全性

ここまで、クラウドサービスを利用する上での注意点について触れてきましたが、クラウドサービスならではの安全性もあります。

情報を一元管理する安全性

現状の情報管理におけるリスクの一つとして、情報が分散していることが挙げられます。 例えば、メールでのファイル送信もその一つです。ファイルをメールに添付して送信することは、送信した数だけファイルが増えて分散します。送信者側の送信済みフォルダや、受信者の受信ボックス。また、受信者が複数いればその人数だけファイルは増えます。受信者のファイルの転送も同様です。 ファイルをクラウドに保管してそのリンクを伝達すれば、該当ファイルはクラウドサービスに保管されている一つだけになります。ファイルのアクセス状況を管理・監視すれば、メール添付するよりも安全に情報を管理することができます。

持たないことによる安全性

PCやスマートデバイスなどを社外で活用することは不可欠です。これらは非常に便利で生産性が上がりますが、セキュリティ管理の観点では、盗難紛失による情報漏えいの懸念があります。クラウドサービスを活用すれば、PCやスマートデバイスに情報を残すことも無く、盗難紛失した場合も情報漏えいするリスクが下がります。

クラウドサービスを利用することがすべて、リスクが高いわけではありません。うまく活用することで、セキュリティリスクを高めることなく、よりセキュリティを高めて、活用することが可能です。

シャドーIT対策

企業が現在直面している課題の一つにシャドーITが挙げられます。コンシューマライゼーションにより、企業内ユーザがクラウドを利用し、利便性や生産性を向上できることを知っています。企業ITがそれに追いついていない状況です。

例えば、企業のクラウド対応が遅れ、クラウド利用ガイドラインも整備されない状況で、企業内ユーザが無断で自身のモバイル端末を通じて企業のクラウドを利用すること自体が企業のセキュリティリスクを高める大きな要因となっています。企業セキュリティポリシーとしてクラウドを禁止していることがクラウド利用リスクを高めている状況が起きています。 シャドーIT対策のポイントは下記となります。

  • 企業におけるクラウド利用状況を把握する
  • クラウドへのアクティビティ を把握する

企業IT管理者は、ポリシーとしてクラウドアクセスを禁止して、ネットワークのアクセスポリシーに適応する事により、対応をしていますが、本当にそれは完全な手段でしょうか?

クラウドサービスへのアクセスがすべて制御できていない可能性があります。アクセスコントロールができているのかも含めて、クラウドへのアクセス状況を可視化して、確認する必要があります。また、クラウドサービスにアクセスしている場合、そのクラウドにどのようなデータを誰がアップロードしているのかを、把握する必要があります。

マクニカネットワークスのソリューション

「安全なクラウドを安全に活用する」ことが今後のクラウド活用において重要です。全てのクラウドサービスが安全ということではありませんし、会社の情報資産の全てをクラウドに保存するということでもありません。 つまり、白か黒か?0か100か?ではないのです。

安全なクラウドサービスでも、利用者が安全に利用しなければ安全は保障できません。アクセス権限の管理を徹底して、利用者の不正な利用も監視、管理をすることが必要です。

マクニカネットワークスでは、「安全なクラウドを安全に利用」していただける支援をいたします。クラウドの利活用が本格的にスタートするのはまだまだこれからです。クラウドの利活用を通じて、従業員の方の生産性の向上、ITコストの削減、スピードアップを実現していただき、企業の競争力強化の為のソリューションを提供させていただきます。

いつか見た景色 from Staff's Albums