さて、前号に引き続き、「クラウド」(クラウドコンピューティング)について考えていきましょう。前号はクラウドの説明に終止してしまったので、今回はいよいよ安全性について考えていきます。
皆さま、情報漏えいの原因をご存知でしょうか。
JNSA(特定非営利法人日本ネットワークセキュリティ協会)が発表した『2017年 情報セキュリティインシデントに関する調査報告書』によれば、インターネット上に公開された個人情報漏えい事件における原因は以下のとおりです。
- 誤操作 (25.1%)
- 紛失・置き忘れ (21.8%)
- 不正アクセス (17.4%)
- 管理ミス (13%)
- 不正な情報の持ち出し (6.5%)
いわゆる、外部からの攻撃によるものはNo.3の不正アクセスのみ。
No.5は内部の犯行ですし、その他はすべて「間違い」を原因としたものです。
情報漏洩の約6割は、「間違い」によって発生していること。
この事実を覚えておいてください。
セキュリティ対策と言うと、多くの方はウィルス対策ソフトや不正アクセス検知などに代表されるような、ソフトウェア等によるテクニカルな対策を思い浮かべることでしょう。
しかし、上記の原因を診る限り、それだけでは不十分であることが分かるかと思います。
セキュリティ対策には、教育や社内ルールの徹底がとても重要なのです。
教育とは、簡単に言えば、駄目なことを学び、セキュリティに関する正しい知識を学ぶことを指します。例えば、パスワードを使いまわしたり、PCに付箋で貼り付けておくなどは論外です。
社内ルールとは、セキュリティを守る行動を規範することです。安易にUSBメモリを使わせない、機密情報を持ち出させない、PCの入ったバッグを網棚等に置かないなど、セキュリティを守り、情報漏えいを発生させない社内ルールを設けることはとても大切です。
つまりセキュリティとは、ソフトウェアなどによるテクニカルな対策、教育、ルールのみっつが適切に協働することで、初めて効果を発揮するものなのです。
少し話が変わります。
クラウドのセキュリティを考える際に比較されるのは、オンプレミス(自社運用型)です。自社内にサーバを置く管理方法ですね。
クラウドとは、共同住宅のようなもの。一方、オンプレミスは一戸建てのイメージです。確かに、同じ建物内に他人がいる、もしくは共同玄関だと、セキュリティが弱いようにも感じます。
しかし、考えてください。
例えば、あなたの会社のサーバは強固で安全な部屋に隔離されていますか? 火事が起こった際、事務所と一緒に焼け落ちてしまうような部屋では駄目ですよ。
例えば、あなたの会社のサーバは電源系統を別にしていますか? いくらUPS(無停電電源装置)があるからと言っても、ブレーカーひとつでサーバへの電源供給が妨げられるような状態はNGです。サーバへの電源供給は、そもそも社内内部に電線を引き込む前段階で別系統になっていなければ安全ではありません。
日常的なアップデート等のメンテナンスはどうでしょうか。
忙しさを言い訳に、オンプレミス・サーバのセキュリティ・アップデートを怠っているようでは論外です。
つまり、オンプレミスにおいて、セキュリティを保つのは、コストと手間がかかります。
対して、クラウドでは日常的なアップデートはクラウドサービスの運営会社が行ってくれます。
ファイアーウォールなどのテクニカルな対策についても、とても高品質なサービスを極めて低価格で利用することが可能です。
クラウドのメリットとは、リーズナブルかつ手間も最小限で、高い機能とセキュリティを利用できる点にあります。費用対効果が高いこと、これはクラウド最大の魅力でしょう。
クラウドも、オンプレミスも、それぞれメリット/デメリットがあります。
大切なのは、どちらが良い/悪いと言った二元論的な考え方に囚われることなく、自社の状況やニーズを考えて適切な選択をできることです。
さて、今回は2号に渡り、クラウドについて説明をしてきました。
今後も機を見て、知っているようで知らないIT用語の解説をお届けしましょう。
お楽しみに!
