無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

テレワーク（在宅勤務）が急増したこともあり、クラウドストレージの導入を検討する企業が増えています。本記事では、特にセキュリティの観点からクラウドストレージの主要4サービスについて解説します。

クラウドストレージとは

「クラウド（cloud）」は、ユーザがサーバを用意したりソフトウェアをインストールしたりすることなく、インターネットを通じてサービスを提供するという考え方です。ユーザは自分のデータがどこに保存されているのか、サービスはどこにあるのかを一切意識することなく、サービスが利用できます。

“オンラインストレージ”・”ファイル・ホスティング”とも呼ばれる「クラウドストレージ」とは、文字通り「クラウド」上の「ストレージ＝倉庫」のことで、インターネット上に存在するファイル保管庫です。クラウドストレージに保存したデータは、実際にはクラウド事業者の巨大データセンターに格納されます。

クラウドストレージ導入で得られるメリット

ビジネスにおいて、クラウドストレージを導入するとどのようなメリットがあるのでしょうか。

容量を気にせずデータ共有ができる

クラウドストレージを導入する大きなメリットは、拡張性「スケーラビリティ」です。クラウドストレージの登場以前、企業内のデータは自社内で構築するファイルサーバや個人のPC・デバイス内で保管・管理するしかありませんでした。

自社内ですべてのデータを管理しようとすると、管理すべきデータ容量が増加するたびに、新規にサーバを購入してネットワークを組み直すなど、大幅に時間と工数がかかってしまいます。クラウドストレージでは、必要に応じて契約内容を変更するだけで容量を拡張できるため、追加の設備投資が不要です。また、必要な容量が増えた時だけではなく、減ったときも同様に契約内容を更新するだけで対応できます。

クラウドストレージでは、ストレージを使用するユーザも、データ容量を気にすることなく、必要なときに必要なデータを共有できます。

どこからでもデータを利用できる

新型コロナウイルス感染拡大に伴い2020年初旬よりテレワーク（在宅勤務）が急増しています。テレワークは、従業員が自宅の他、どこにいたとしても素早くかつ安全に業務データにアクセスできなければ成り立ちません。インターネットを介してどこからでも業務データにアクセスできる環境であるクラウドストレージは、テレワークを取り入れている企業から注目を集めています。

共同作業がスムーズ

個人のPC内にデータを保存していた場合、他の人がそのデータを活用したい場合は、そのPCの所有者に依頼して、データを送付してもらわなくてはいけません。

クラウドストレージでのデータ管理では、あらかじめデータの保存ルールを決めて、全メンバーのデータをクラウドストレージという1箇所に集中して保存して管理します。このため、全員で同一のファイルを使用するような共同作業がスムーズにできるようになります。

データバックアップ機能がついている

誤ってファイルを削除してしまったので取り戻したい・データを過去の状態に戻したいといったことは、業務においてはよくあることです。これらは、いずれも自社内のサーバに保存するデータ管理では、対応できないことです。

多くのクラウドストレージは、バージョン管理やバックアップ機能を搭載しています。このため、クラウドストレージのバックアップから過去のバージョンのファイルを取得（リストア）することができます。

セキュリティ対策

自社内のサーバに保存するデータ管理では、トラフィックの監視や不正アクセスの検知など、自社独自でセキュリティ対策を講じる必要があります。

クラウドストレージの場合は、各クラウド事業者は、データセンターが設置してある国の、国家基準のセキュリティ対策でデータセンターを運営しています。自社だけでこれだけのセキュリティ対策をもれなく講じることは難しいですが、クラウドストレージを活用することで、自社だけでは対応の難しい高レベルなセキュリティ対策を、工数をかけずに実施できます。

クラウドストレージを選ぶポイント

クラウドストレージを選ぶときに注目すべきポイントはどのような点でしょうか。

セキュリティ面での要件対応

クラウドストレージごとにセキュリティポリシーが異なります。

自社内ですべてのデータ管理を行うときは、自社のセキュリティポリシーを適用してセキュリティ対策を行えますが、クラウドストレージを導入するときは、クラウドサービス側のセキュリティポリシーに基づいた対策が行われます。自社のセキュリティポリシーと比較して、クラウドストレージのセキュリティポリシーの中に許容できない条項がある場合もあります。

クラウドストレージを選択するときには、自社とクラウドストレージ両方のセキュリティポリシーを確認し、問題のある条項が含まれていないか確認しましょう。

自社に合った機能か

クラウドストレージを活用する状況も様々です。例えば、外出や出張を頻繁にする従業員が多ければ、スマートフォンやタブレットからクラウドストレージを利用するときに使うアプリの仕様を重点的に確認します。

また、主に容量の大きいデータを扱う企業であれば、ストレージの容量が第一優先となるでしょう。クラウドストレージの仕様や機能が自社のニーズと合致しているかも、大切なチェックポイントです。

コスト面

多くのクラウドストレージでは、1ユーザごとの月額制の料金体系です。導入後の利用ユーザ数の増減を加味して、コスト計算をしましょう。

無理のない運用か

無料でも有料のサービスと引けを取らない機能を提供しているクラウドストレージもありますが、相当な高機能なのに無料というサービスには要注意です。無料である代わりに、サービス提供側がユーザのデータから一部の情報を収集しているなど、セキュリティ面に弱点がある可能性があります。

第三者機関による評価

クラウドストレージを選ぶ基準として、第三者機関からの評価を参考にするのもひとつの方法です。例えば、「ISO/IEC 27001」という情報セキュリティマネジメントシステム（ISMS）に関する国際規格を取得しているクラウドストレージであれば、一定基準以上のセキュリティ対策が実施済みと言えるでしょう。

その他、財団法人マルチメディア振興センターが認定している「ASP・SaaS安全・信頼性に係る情報開示認定制度」や、一般社団法人クラウドサービス推進機構が厳正に審査認定を行っている「CSPAクラウドサービス認定」があります。

クラウドストレージのセキュリティ対策

クラウドストレージでは、どのようなセキュリティ対策を施しているのでしょうか。

外部攻撃への対策

不正アクセスやマルウェア感染など、クラウドストレージ上のデータに影響を及ぼす外部攻撃への対策は、サービスを提供する事業者に依存します。

ユーザ側でできることは、アカウントのパスワードを強固にするといった対策です。ユーザ側で設定しているパスワードは、サービス事業者では管理できませんので、自社内で従業員教育をしっかりと実施しましょう。

内部不正への対策

情報漏えい事件の原因の第1位は、以外にも内部の者による意図的な情報漏えいです。これまでは、”IT管理者による不正などありえない”という前提で、セキュリティ対策が施されていましたが、内部不正への対策を強固にするため、管理者であってもログの改ざんなどを一切許可しないクラウドストレージも登場しています。

データ消失への対策（災害・過失）

クラウドストレージでは、万が一、データが保存されているデータセンターが災害に見舞われてしまうと、何の対処もできません。災害への対策として、距離的に離れた2箇所のデータセンターに分散してデータを保存できるクラウドストレージでは、1つのデータセンターが災害に見舞われたとしても、他方にデータが残っているため、データ消失のリスクは軽減します。

セキュリティに強いクラウドストレージを比較

セキュリティ面に着目してクラウドストレージを比較してみます。おすすめのクラウドサービスは次の4つのサービスです。

Box

サイトBox

コンテンツ管理プラットフォームBoxは、セキュリティ面を重視してクラウドストレージを選ぶなら第一に検討すべきサービスです。理由は、他のクラウドストレージではほぼ見られない特徴にあります。

これらの他、他のクラウドストレージでは見られない特長が、強固なコンプライアンス対策です。通常、操作ログや監査ログを保管できるクラウドサービスの場合、サービスのユーザはこれらのログを削除・改ざんできませんが、管理者は可能です。Boxの場合、7年間分の操作ログを保管しますが、管理者であっても削除や改ざんをすることができません。これまでのサービスでは、管理者権限は絶対的なものでした。内部の人間による不正行為を監視するという観点で、管理者でも操作できない領域があるサービスはほぼ見られません。

その他、URLリンクを共有するときに、ダウンロード不可の設定や電子透かしを入れることが可能です。従来型のデータ管理だと、編集不可のページのURLを共有した場合、そのページは編集することができませんが、ダウンロードは可能でした。Boxでダウンロード不可の設定をしておけば、編集だけではなくダウンロードも制限できます。

Dropbox

サイトDropbox

米国商務省・欧州委員会・スイス政府が共同で設計したフレームワークに、”EU – 米国間プライバシー シールド フレームワーク”および”スイス – 米国間プライバシー シールド フレームワーク”があります。EUおよびスイスからEEA外の国への個人データ転送は、プライバシー シールド フレームワークに準拠していない限り禁止されています。

Dropboxは、両方のプライバシー シールド フレームワークの認定を受けているクラウドストレージです。Dropbox Businessプランで15ライセンス以上を購入すれば、EUでのデータホスティングが可能になり、EEA外の国へのデータ転送を含むビジネスを展開できるようになります。

その他、Dropboxでは、各ファイルを不連続のブロックに分割し、暗号化する方法でファイルの安全を確保しています。のデータのバックアップは、30日間分（Dropbox Businessの場合は180日間）です。30日以内であれば削除したファイルをリストア（復元）できます。

OneDrive

サイトOneDrive

Microsoftが提供しているクラウドストレージがOneDriveです。Windows OSにはOneDriveが標準機能として搭載されているため、Windowsユーザにとっては導入に手間がかからないクラウドストレージです。

他のクラウドストレージでは、ExcelやWordのファイルを閲覧できても、文字化けなどが生じることがあります。MicrosoftのクラウドストレージOneDriveは、当然のことながらMicrosoft製品と相性が良く、ExcelやWordなどを多用する企業では使いやすいサービスです。

セキュリティ面の特長は、MicrosoftがOneDriveの管理目的で、どの程度ユーザのデータにアクセスすることがあるのかを明らかにしている点です。例えば、MicrosoftのエンジニアがOneDriveを管理するときは、2要素認証を必要とするWindows PowerShellコンソールで管理すると公表しています。

また、OneDriveのユーザ使用領域にはどのMicrosoftのエンジニアもアクセスできず、エンジニアがアクセスする必要がある場合は、その都度、資格の確認を経て許可され、アクセスも期間限定で許可されます。

Googleドライブ

サイトGoogleドライブ

15GBまで無料で使用できるGoogleドライブは、個人でも使用中の人が多いでしょう。Googleドライブにアップロードしたデータは、安全なデータセンターに保管されるとGoogleのサポートセンターは説明しています。また、スマートフォンやタブレットを紛失・破損した場合でも、他の端末からファイルにアクセスして、データを救出することができます。

Googleドライブのビジネス用が「G Suite」です。G Suiteでは、独自ドメインが利用できたり、管理コンソールからメールのセキュリティ管理・監視など、無料版のGoogleドライブではできない詳細な管理ができます。また、セキュリティ面でも、G Suiteのインフラは、Google社内で使用しているインフラと同じものになるため、Google社内のセキュリティ基準と同レベルでデータが管理されるメリットがあります。

クラウドストレージ導入のデメリット

クラウドストレージにも知っておくべきデメリットがあります。簡単に紹介します。

サーバダウンのリスク

クラウドストレージは巨大データセンターで稼働しているため、サーバがダウンしてしまうと直接的に影響を受けてしまいます。サーバダウンによりクラウドストレージのサービスがすべてシャットダウンしてしまった事例は、過去にもほぼありませんが、万が一の場合は、自社では何の対処もできなくなる点は知っておくべきです。

サイバー攻撃のリスク

サーバダウンのリスクと同様、データセンターがサイバー攻撃を受けてしまうと、自社のデータも危険にさらされてしまうことになります。この場合も、対応はクラウド事業者の采配に委ねられるため、自社では対応のしようがありません。

まとめ

主にセキュリティの観点からクラウドストレージの主要4サービスについて解説しました。

クラウドストレージのセキュリティはデータセンターのセキュリティに依存するため、どのサービスを利用するかの選択が非常に重要です。どのクラウドストレージも”強固なセキュリティ”と謳っていますが、鵜呑みにせず、”なぜ・どのような仕組みだから強固なのか”という点が説明されているかに注目してください。