5分で分かるクラウドのセキュリティリスク一覧と対策方法について

クラウド移行やクラウドサービス利用を検討している企業の中には、セキュリティリスクが心配で二の足を踏んでいる企業も多いのではないでしょうか。

クラウド環境は常にインターネットと接続しているため、どうしても「クラウドは危険」というイメージがつきまとい、クラウドセキュリティ対策に不安を覚えてしまう方も多いでしょう。

実際、クラウド移行が進む昨今では、クラウドを狙ったサイバー攻撃も増えています。また、クラウドサービスを介した情報漏えい事故も多くニュースで報道されています。そのような事故を防ぐためには、クラウドのセキュリティリスクを事前にしっかりと認識して対策しておくことが大切です。

クラウドサービスを利用する際に発生するセキュリティ上の問題や脅威には、以下のようなものがあります。

リスク管理を徹底するには、クラウドサービスを利用する社内教育もとても重要となります。安全にクラウドサービスを利用したい企業担当者様はぜひこの記事を最後までお読みいただき、万全の対策ができているか確認してみてください。

まずは「クラウドセキュリティリスクとは何か」を説明していきます。

クラウドセキュリティリスクとは、クラウド環境やクラウドサービスを利用する際に発生するセキュリティリスク（セキュリティ上の問題や脅威）のことを指します。

なお、セキュリティリスクを考える上では、日本の産業規格であるJIS Q 27000:2019の定義では、以下の7つの要素が「情報セキュリティ7要素」が参考になります。

【JIS Q 27000:2019における情報セキュリティ7大要素】

機密性（Confidentiality）	アクセスを許可されたユーザーだけが情報にアクセスできる状態にしておくこと
完全性（Integrity）	保有する情報が正確かつ完全な状態に保たれていること
可用性（Availability）	いつでも情報を利用可能な状態にしておくこと
真正性（Authenticity）	情報にアクセスする人や端末が「本当に許可されているかどうか」を確実にすること
信頼性（Reliability）	データやシステムを利用する際、意図した動作と結果が得られることを担保すること
責任追跡性（Accountability）	情報へのアクセスが、誰によってどのような手順で行われたのかを後から証明できるようにしておくこと
否認防止性（Non-repudiation）	問題発生後に、その原因となった人物から否定されないよう、後から証明できるようにしておくこと

最初の3つは「CIA」とも呼ばれている情報セキュリティ3大要素であり、これに後から追加された4要素を足したのが7大要素となっています。

上記の7つの要素が整った状態が望ましい状態であり、情報セキュリティ7大要素を脅かすような存在を「セキュリティリスク」と考えることができます。

これを踏まえた上で、次章ではクラウド環境におけるセキュリティリスクを網羅的に解説していきます。

ここからは早速、クラウド環境・クラウドサービスを使用する上でのセキュリティリスクについて網羅的に解説していきます。

なお、ここで解説する中には、クラウド特有のリスクやクラウドだからこそリスクが高いものもありますし、利用者のリスク意識の低さによる脅威も含まれます。

クラウドサービスのセキュリティリスク一覧（7つのリスク） 1：重大なインシデントにつながる「不正アクセス」のリスク 2：年々巧妙化している「サイバー攻撃」を受けるリスク 3：企業の信頼低下にもつながる「情報漏えい・流出」のリスク 4：大切な情報を失う「データ消失」のリスク 5：従業員の内部不正（情報漏えい・機密データの持ち出しなど）のリスク 6：サービス終了や障害による「サービス停止・サーバー停止」のリスク 7：「シャドーIT（企業が許可していないデバイスやシステムなど）」のリスク

対策方法・回避方法については後ほどまとめて解説するので、まずは「どのようなセキュリティリスクがあるのか」を重点的に理解していきましょう。

クラウドサービスを利用する上で気をつけるべきセキュリティリスクの1つ目は、「不正アクセス」です。

不正アクセスとは、関係者以外による不正なアクセスのことです。悪意があるケースもないケースも含めて、本来であればアクセス権限を持たない第三者がクラウド環境やクラウドサービスに侵入してしまうことを指します。

不正アクセスの原因には、ID・パスワードの漏洩・盗難や、マルウェアやウイルスの感染、不十分なネットワークセキュリティ、従業員のアクセス権限の管理ミスなどさまざまなものがあります。

不正アクセスされてしまうと、顧客情報や機密情報が流出したり、システムやサービスが停止されてしまったり、データが改ざん・削除されたりと、甚大な被害につながります。

クラウドサービスを狙った「サイバー攻撃」も、セキュリティリスクの一つです。常にインターネットに繋がっているクラウド環境は、通信途中にサイバー攻撃される危険がつきまといます。

さらに企業のクラウドシフトが進む中で、サイバー攻撃者もクラウドを標的にするケースが増えています。

クラウドサービスが標的になりやすいサイバー攻撃1：DDoS攻撃

「DDoS攻撃」は、大量のデータや処理要求を送りつけることでサーバーダウンやサービス停止に追い込むものです。

インターネットに接続された状態で常に稼働しているクラウドサービスは攻撃のターゲットになりやすく、GoogleクラウドやAWSなど大手インフラ事業者も、今までにDDoS攻撃を受けています。

DDoS攻撃を受けてクラウドサービスがダウンしてしまうと、そのサービスを利用している企業のサービスや業務もまた停止することになり、業務への影響や収益の損失など大きな打撃を受けることになります。

クラウドサービスが標的になりやすいサイバー攻撃2：ゼロデイ攻撃（ソフトウェアの脆弱性を狙った攻撃）

ゼロデイ攻撃とは、ソフトウェアの脆弱性を利用してシステムに侵入し、データを盗み出したり、システムを乗っ取ったりするタイプのサイバー攻撃をいいます。

脆弱性の存在がニュースで報道されてから、修正プログラムの公開前を狙った攻撃が行われることもあります。使用しているソフトウェアの脆弱性の情報が公開された時には、修正プログラムが適用されるまでの間に十分に警戒する必要があります。

クラウドサービスが標的になりやすいサイバー攻撃3：標的型攻撃（APT攻撃）

標的型攻撃とは、特定のターゲットを狙ったサイバー攻撃のことをいいます。標的に対して持続的に行われる攻撃をAPT（Advanced Persistent Threat）攻撃と呼ぶこともあります。

例えば、攻撃を仕掛ける相手があらかじめ決まっており、その取引先企業を装ってウイルス付きメールを送付する手口が有名です。クラウドメールサーバーを利用している場合には、常にこのような標的型攻撃を警戒しなければいけません。

標的型攻撃はターゲット向けに巧妙に作り込まれているため、対策が非常に難しいサイバー攻撃となります。セキュリティ対策ソフトやメールフィルタリングなどのハード面の対策とともに、従業員の意識改革や教育がとても重要になります。

クラウドサービスが標的になりやすいサイバー攻撃4：ランサムウェア（身代金要求型不正プログラム）

ランサムウェアとは、感染したシステムのロックや暗号化によりデータを使用不能な状態にして「人質」にとり、それらの復旧と引き換えに「身代金」を要求するマルウェア（不正プログラム）です。

支払いが行われるまでファイルやシステムがロックされるため、企業や個人に大きな被害を与えます。また、「不正に取得したファイルを公開する」と脅されるケースもあります。

これまでランサムウェアの攻撃は社内のコンピューターやサーバー、ネットワークに不正アクセスをするケースがほとんどでした。しかし最近では、クラウドの脆弱性を悪用してクラウド上のデータを狙うケース（ランサムクラウド）も危惧されています。

クラウドを活用する上で気をつけたいセキュリティリスクとして、情報漏えいや流出も注意しなければならないリスクの一つです。

情報漏えい・流出とは、企業や組織が管理する機密データや個人情報が、外部に漏れてしまうことをいいます。

クラウドサービスからの流出事件というと、クラウドサービス側のセキュリティの問題と思われがちですが、実は、内部の人間のミスや故意による情報漏えいも多数発生しています。

例えば、2020年に最大100万件を超える個人情報が流出した事件では、原因は「セキュリティ設定に不備があった」という内部のヒューマンエラーでした。設定不備によりシステムに第三者がログイン可能な状態になっていたことが原因で不正アクセスされた、とのことです。

軽微な情報漏えいも含めると、このような事例は日々多く発生していると考えられます。

例えば、多くの企業が利用しているGoogleドキュメントでは、「リンクを知っている全員が閲覧可能」に設定して共有することが可能です。「リンクを特定の人にだけ教えれば問題ない」と考えるかもしれませんが、もしもそのリンクが誤って拡散されてしまえば、関係のない第三者にまで内容が丸見えになってしまうのです。

クラウドサービスは気軽に情報共有できるのがメリットの一つですが、利用する側のセキュリティ意識が低いままだとこのような事故が起こる可能性があるのです。

クラウドサービスを利用する上で注意したいリスクとして、クラウドサービスに保存していたデータが消失してしまうリスクも考えなければなりません。

このリスクについて「万全なセキュリティ対策を講じているクラウドサービスを選べば大丈夫でしょう」と考える方もいるかもしれません。しかしながら、先ほどの情報漏えいと同様に、クラウド側が原因ではない「利用者に原因があるデータ消失」も多く起きているので注意が必要です。

例えば、「IaaS」や「PaaS」のように利用者自身が設定を行うクラウドサービスの場合、設定ミスでデータが消失するリスクがあります。また、ログインするだけで簡単に使える「SaaS」の場合も、利用者が間違えて削除してしまうことでデータが消えてしまうリスクは常にあります。

また、クラウドサービス側のサーバーの故障や災害などで、サービス側が原因となるデータ消失リスクも考えられます。業務上必要なデータがなくなってしまうと、業務が滞ってしまい、重大な影響を及ぼす可能性があるでしょう。

データ消失リスクを避けるためには、万全なクラウドセキュリティ対策を行っているサービスを利用するだけでなく、利用者側の設定ミスや操作ミスを防ぐ体制づくりが重要です。また、常時バックアップを取っておくなど積極的に自分を守る準備をしておくことも大切です。

従業員の内部不正も、クラウドセキュリティを考える上で知っておくべきリスクの一つです。

内部者（インサイダー）の不正による脅威としては、情報漏洩や機密データの持ち出しなどが該当します。また、悪意がある意図的な行為だけではなく、不注意などから生じる過失も含まれます。

【従業員の内部不正の例】 好意を抱いた女性顧客の住所や電話番号を、クラウドサービスに保管されているデータから盗み出した 退職時に、クラウドサービスに蓄積されている機密データや個人情報を盗み出した 機密情報をクラウド上の共有ドライブに誤ってアップロードしてしまい、外部の人間に情報を共有してしまった クラウドサービスのセキュリティ設定を間違えたことにより、公開すべきではない機密データに誰でもアクセスできる状態になってしまった

従業員の内部不正を防ぐためには、適切なアクセス制限やパスワード管理はもちろん、従業員教育や「ポリシーの策定など従業員の意識を変えていく視点も重要となります。

クラウド活用時のセキュリティリスクとして、クラウドサービスの終了や障害による自社サービスの停止やサーバー停止のリスクもあります。情報セキュリティ7大要素のうち、可用性（いつでも情報を利用可能な状態にしておくこと）に該当するリスクです。

例えば、クラウド上のプラットフォームを活用してECサイトを構築している場合、サービスプロバイダ側で障害が起きると、自社のECサイトもサービスが停止してしまいます。クラウド側の障害が原因でも、エンドユーザーからすると「◯◯の会社のサイトがダウンしている」という風に見えてしまいます。

同様に、業務システムをクラウド化している場合には、クラウドサービスが停止することで一時的に業務ができなくなってしまいます。業務ができない状態が続けば、取引先に迷惑をかけてしまうことになるでしょう。

また、万が一、使っているクラウドサービス自体が終了することになれば、リプレイス先を探さなければならないことになります。

「シャドーIT」とは、企業が許可していないデバイスやシステム、アプリ、サービスを指す言葉です。企業が公認しているサービスではなく、従業員が自己判断で勝手にクラウドサービスを業務に利用した場合が該当します。

こうした企業の管理外となるクラウドサービスを従業員が勝手に使用してしまうと、いくら企業がクラウドセキュリティ対策を万全に行っていたとしても台無しとなってしまいます。個人的に使っていたクラウドサービスから、情報漏えいなど重大な自己が発生する可能性があります。

「シャドーIT」の存在は、企業が把握することが難しく、また本人も「シャドーIT」と認識せずに悪意なくクラウドサービスを使っているケースがありえます。そのため、一方的に利用を禁止するだけでは根本的な解決に至りにくいのが難しいところです。

前章で解説したさまざまなクラウドセキュリティリスクを回避できずにセキュリティインシデントが起きてしまうと、企業に甚大な被害が及ぶことになります。

クラウドセキュリティを突破されてしまった場合には、多額の金銭的損失につながる可能性があります。

具体的には、以下のような損失が発生し、それらを合計するとかなり膨大な費用になる可能性が否めません。

• セキュリティインシデントが発生した原因や全容を把握するための調査費用
• ダウンタイム（サービス休止中）の機会損失
• 消失したデータや休止したサービスの回復費用
• ランサムウェアに身代金として支払う費用
• 取引先などからの損害賠償金

参考までに、総務省の情報通信白書 令和5年度版によると、日本では2021年度の1年間で発生したセキュリティインシデントに起因した1組織あたり年間平均被害額は約3億2,850万円になると算出されています（情報元はトレンドマイクロの調査）。

その他、以下のような試算が行われており、調査によって被害総額は異なるものの世界的にサイバーセキュリティで被害が起きた場合の金銭的損失は、かなりインパクトが大きいものだと考えられます。

クラウドサービス利用時に重大な機密データや個人情報が漏えいしてしまうと、取引先や顧客に多大な迷惑をかけるばかりか、企業の社会的信用が失墜する可能性もあります。取引先から契約を解除されたり、株価が下落したり、採用が難しくなったりするリスクもありえます。

たとえその情報漏えいの原因がクラウドサービス由来のものだったとしても、取引先や顧客からすれば「あの会社が漏えい事故を起こして、私の情報が外部に漏れてしまった」と思われてしまうでしょう。

また、クラウドサービス自体が長期間システムダウンして自社サービスを長く停止することになれば、ユーザーの利便性が低くなり、社会的信用を失ってしまう可能性もあります。

ここまで解説した通り、クラウドサービスを利用する場合にはさまざまなセキュリティリスクが潜んでいる点に注意が必要です。

ただし、実は、クラウドサービスはオンプレミスに比べて一概にセキュリティリスクが高い訳ではない、という点にも注目しておきましょう。

人によっては「クラウドよりもオンプレミスのほうが安心（セキュリティリスクが低い）」と考えている方もいるかも知れませんが、これは誤りです。一概にクラウドのほうが、セキュリティリスクが高い訳ではなく、「それぞれに異なる種類のリスクが存在している」と考えたほうが適切です。

クラウドサービスのセキュリティリスクが高く感じられる理由としては、以下のような理由が考えられます。

理由1. オンプレミスよりも広範囲にわたるセキュリティ対策が必要だから

クラウドサービスのセキュリティリスクが高く感じられる理由には、インターネットを介してアクセスするため、オンプレミスと比べて広範囲にわたるセキュリティ対策が必要という理由があります。

オンプレミスは自社ネットワーク内での使用を前提としているため、基本的には「自社ネットワークの中（内側）を守り、外からの脅威について対策すれば良い」という考え方です。

しかしながら、クラウドサービスはインターネットに常につながった形なので、内側も外側もなく、全方位でセキュリティ対策を講じる必要があります。

理由2. セキュリティ対策を外部依存することになるから

オンプレミスでシステムを運用している場合には、自社が一貫してセキュリティ対策に取り組んでいれば、一定の効果を得ることができます。また、自社のセキュリティポリシーに合わせて自由にカスタマイズすることが可能です。

しかしながら、クラウドサービスではセキュリティ対策をサービス提供会社に委ねることになります。

ハード面でのセキュリティ対策については自社で物理的にコントロールできないため、自社が強固な対策を行うだけではインシデントを防げない難しさがあります。

そのため、利用するクラウドサービスを選ぶ際には、そのサービスがどのようなクラウドセキュリティ対策を講じているのかをきちんと見極める必要が出てくるのです。

理由3. 自社以外が同一システムを利用することによるセキュリティリスクが発生する

マルチテナントのクラウドサービスを利用する場合、自社以外が同一システムを利用することによるセキュリティリスクが発生します。マルチテナントとは、SaaSやASPサービスなどのように、同一のシステムを複数の企業や個人が共有するモデルのことをいいます。

自社の従業員だけでなく関係のない企業や個人が同一のシステムを利用するため、データが他ユーザーのものと混ざってしまったり、情報漏えいが起こったりする可能性が考えられます。

このようなリスクを避けるには、ユーザーごとにデータベースを分離しているなど、他ユーザーのデータと自社のデータが交わらないようなセキュリティ対策が取られたサービスを選定すると良いでしょう。

オンプレミスにはないセキュリティリスクがある一方で、クラウドサービスならではのセキュリティ上の利点も存在します。

オンプレミスでは実現が難しい高度なセキュリティ対策を実現している

オンプレミスよりも多彩な脅威が存在しているからこそ、クラウドセキュリティは発達し、現在では高度なセキュリティ対策が講じられています。

大手クラウドプロバイダーを中心に、従来型のセキュリティの考え方とは全く違う考え方で全方位を守るようなセキュリティの技術も発達してきました。

例えば、定期的なセキュリティパッチの適用、自動化された監視ツール、暗号化、認証の強化などが含まれます。

オンプレミスで課題となる人的リソースやセキュリティ知識不足をまかなえる

オンプレミスで強固なセキュリティを実現するためには、社内での適切な人的リソースの設置と、技術者の専門的な知識が必要となります。しかしながら、昨今では情報セキュリティの専門知識や技能を持つ人材が不足しており、企業間での奪い合いとなっています。

「セキュリティ担当者が辞めてしまって、その穴を埋められる人材がいない」のような状況が続くと、適切な監視や管理、トラブル対応ができず、堅牢なオンプレミス環境が逆に危険な状況になってしまうこともありえます。

また、セキュリティパッチの適用やシステム監視を手動で行うことも多いオンプレミス環境では、人的ミスが発生しやすいというデメリットもあります。

一方クラウドサービスなら、クラウド提供会社にセキュリティの技術面は一任できるため、自社で外部セキュリティ対策を行う必要がありません。人的リソースの確保や緊急のトラブル対応も発生しないのは大きなメリットといえるでしょう。

ここまで、クラウドサービスを活用して業務を進める上でのセキュリティリスクや、クラウドならではのセキュリティ上の弱み・強みなどを詳しく解説してきました。

巧妙化するサイバー攻撃の存在もあり、クラウドセキュリティリスクをゼロにすることは難しいことです。しかしながら、できるだけクラウドセキュリティのリスクを最小限に抑えるというところを目標にしていくことをおすすめします。

クラウドセキュリティリスクを最小限に抑えるには、2つの視点が必要となります。

クラウドセキュリティリスクを最小限に抑える2つの視点 （1）クラウドサービス側：技術的なセキュリティ対策が万全に備えられているサービスを選ぶ （2）利用企業側：従業員のリテラシーを高めて、内部要因のインシデントが発生しないよう徹底する

つまり、堅牢なセキュリティ対策を講じているクラウドサービスを選ぶとともに、自社の従業員の意識改革も進める必要があるということです。

いくら技術的に高度なセキュリティ対策を講じても、使い方が悪ければセキュリティ事故は発生してしまいます。逆も同じで、いくら使う側のセキュリティ意識を高度化しても、セキュリティ対策が甘いクラウドサービスを使ってしまえば、インシデントが起こってしまうでしょう。

この両軸はどちらか一方ではなく、どちらもしっかりと対策しておくことが必要となります。

ここからは、クラウドを活用する場合の具体的なセキュリティリスク対策について詳しく解説していきます。

クラウドのセキュリティリスクを回避する対策方法には、「クラウドサービス側」の対策と「利用する企業側」の対策（従業員全体の意識を高める方法など）の2つがあります。

ここでは、クラウドサービスを利用する側の目線に立って、「どのような対策をしているクラウドサービスを選ぶべきか」を含めて、両方の対策方法についてまとめて解説していきます。

クラウドセキュリティリスクを回避するためには、まずはセキュリティ面で安心できるクラウドサービスを選ぶことが重要となります。

セキュリティ対策が足りていないサービスを利用してしまうと、2章で解説したさまざまなリスクが発生する可能性が高まり危険です。

具体的には、以下のような「クラウドサービス事業者が実施する情報セキュリティ対策」について、どのような取り組みをしているサービスなのかを確認しましょう。

　

クラウドサービス事業者が実施する情報セキュリティ対策の例 データセンターの物理的な情報セキュリティ対策（災害対策や侵入対策など） データのバックアップ ハードウェア機器の障害対策 仮想サーバーなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性（ぜいじゃくせい）の判定と対策 不正アクセスの防止 アクセスログの管理 通信の暗号化の有無

なお、詳しい選び方ステップは「7. セキュリティリスクに配慮したクラウドサービス選定のポイント」で後述しています。

従業員が独自に利用している「シャドーIT」（管理者が把握していないサービスのこと）も含めて、セキュリティ面で問題のないクラウドサービスのみを使用するよう徹底しましょう。把握が難しい場合には、クラウドサービスの利用状況を可視化・監視できる「CASB（キャスビー）」の導入も検討してみましょう。

クラウドセキュリティリスク対策において、「暗号化」は、データの機密性を高め、情報漏えいや改ざんなどのリスクを最小限に抑える重要なセキュリティ技術の一つです。

暗号化とは、元のデータや通信を第三者が簡単には解読できない状態に変換してやりとりし、受け取った相手が複号を使って元のデータに戻す仕組みです。これにより、万が一データが盗まれても、データが復号化されない限り、読み取ることができず、大切なデータを守ることができます。

そのため、クラウドサービスを選ぶ際には、暗号化機能があるかどうかを確認しましょう。例えばクラウドストレージサービスの場合、保管されるデータを全て自動で暗号化するサービスもあれば、暗号化に対応していないサービスもあるなど、注意が必要です。

また、クラウド側に暗号化機能がない場合には、クラウドサービスと組み合わせて、自分で暗号化できるソフトウェアを使う方法もあります。

個人情報など機密性の高い情報をクラウドに保存する場合には、暗号化を欠かさないよう徹底しましょう。

クラウドサービスのセキュリティリスクを軽減するためには、「適切なアクセス制御」をすることも非常に大切なポイントとなります。

アクセス制御とは、特定のデータやネットワーク、アプリ、リソースへのアクセスを制限したり管理したりする機能。例えば、1つのファイルがあったとして、そのファイルにアクセスできる人や範囲を制御するなどです。

アクセス制御を適切に行えば、関係のない第三者がアクセスできなくなり、不正アクセスや情報漏えい、情報の改ざんなどを防げます。また、従業員によるデータの持ち出しのリスクも軽減できます。

近年多く発生している情報漏えい事故の中には、適切なアクセス制御ができていれば防げたものも多く含んでいます。クラウドサービスでは簡単に情報を共有できるため、共有・公開先にも細心の注意を払うように徹底しましょう。

さらに対策を強化したい場合には、アクセス制御と合わせてアクセスログの監視を行うことで、不正をすぐに検知することができます。

クラウドサービス利用時のセキュリティ事故を防ぐためには、ユーザー認証を強化する対策方法も講じましょう。具体的には「多要素認証」を活用したログインがおすすめです。

「多要素認証」とは、認証を行う際に、1つだけの認証方法ではなく複数の認証方法を組み合わせることをいいます。

例えば、

• ID・パスワード認証に加えてワンタイムパスワード（OTP）を組み合わせる
• 指紋認証などの生体認証を追加で実施する
• 端末を限定した「クライアント証明書」を利用する

といったものがあります。

多要素認証を実装することで、万が一ID・パスワードが流出・特定されたとしても、不正アクセスを防げる可能性があります。

クラウドサービスの脆弱性を狙ったサイバー攻撃が増えていることもあり、リスクを避けるためには、こうした脆弱性を検知できるようにしておくことも重要です。

脆弱性の検知や素早い対応に力を入れているクラウド事業者のサービスを選ぶことはもちろん、ツールを使って定期的に脆弱性スキャンを行って、エンドポイントの脆弱性を洗い出すことを習慣化しましょう。

クラウド上のデータ保管場所を把握・管理できていないとセキュリティリスクを高めてしまうため、明確に社内でルールを決めて保管するように徹底しましょう。

例えば、整理できておらず全ての部署のデータが同じフォルダに入っているような状態では、適切なアクセス制御ができず、結果としてセキュリティリスクが高まってしまいます。
特に、個人情報や機密データなどは厳しいアクセス制御を行っている場所に置き、機密性の低いデータと同じ場所に置かないなどの配慮が必要です。

クラウドストレージサービスならば、フォルダを分けるなど整理整頓を行い、どこに保存すればいいのかが誰でも分かるようにしておくと良いでしょう。社内でも違う部署の情報はアクセス制限を行うなどの対策も必要です。

いずれも、「データを保管する場所をあらかじめ指定しておく」「部署ごとなどに保存場所を決めておく」など、適切なアクセス制御が行える状態にしておきましょう。
なお、海外のクラウドサービスを利用する場合には、各国のデータ転送やデータ保存に関する法律に準拠する必要もあります。国内向けのサービスならば、できれば国内サーバーに保管するようにするのが望ましいでしょう。

データ消失リスクに備えてバックアップを取っておくのも大切です。

クラウドサービスの事業者任せにするのではなく、利用者側も万が一に備えて日頃からデータをバックアップしておくことがリスク回避につながります。

バックアップのベストプラクティスとして知られている「3-2-1ルール」を参考に、常に3つのデータコピーを作成し、それらを2つの異なる媒体に保管し、1つはオフサイト（物理的に離れた遠隔地）に保管することを目指しましょう。

クラウドサービスを利用する際に、外部に共有・公開できる機能を使う場合には、しっかりと設定内容を確認してから共有・公開することが大切です。

例えば、クラウドサービスを使って作成した文書を顧客に確認してもらう時に、本来であれば社内の担当者と顧客の担当者のみ閲覧できる設定にしなければなりません。ここで「リンクを知っている全員が閲覧可能」と設定してしまうと、URLが分かれば誰でも閲覧できてしまう状態になってしまいます。

「URLを知る機会がないだろう」と思われがちですが、ミスが重なってそのURLをコピーしてSNSに投稿してしまった場合、関係のない第三者が誰でも文書を閲覧できてしまうのです。

このような共有・公開設定ミスによる情報漏えい事故は、日常的によく起こっている事例なので、注意が必要です。
特に重要な情報を扱う時などは共有・公開設定について十分に気をつけるなど、社内でルール化することも検討しましょう。

最後に、クラウドサービスのセキュリティリスクをできるだけ軽減するための、クラウドサービスの選定方法についても解説します。

クラウドサービスを選定する際には、そのサービスで取り扱う情報の重要度によって「セキュリティ面をどの程度重視するか」を決めることが大切です。

具体的には、クラウドサービスで扱う情報が外部に漏えいしたり、改ざんされたり、データが消失したり、サービスが停止したりしたときの影響について、十分に検討します。

例えば、クラウドサービスを利用して事業のメインとなる商品販売サイトを構築する場合には、顧客から大事なクレジットカード情報などを預かりますし、サービスが停止すると経営に大打撃となります。そのため、クラウドサービスのセキュリティ面はかなり重視しなければなりません。

一方で、社内資料に使うイラストを作るためにクラウドサービスのデザイン編集ソフトを使いたいというケースならどうでしょうか。デザインの中で個人情報を取り扱わないならば、万が一デザインデータが流出したとしても大きな問題とはなりにくいでしょう。

そのため、先ほどの事例と比べると、クラウドサービスを選定する上でそこまでセキュリティ面を重視する必要性はないと判断できます。（同じ状況でも、デザイン会社が顧客に納品するデータを作成する場合には、完成前のデータが流出するのはかなり重大な事故となります。）

取り扱う情報の重要度チェックリスト クラウドサービスで取り扱う情報が外部に漏れたら重大な事故になるかどうか クラウドサービスで取り扱う情報が改ざんされた場合、どれほどの影響が出るか クラウドサービスで取り扱うデータが消失した場合、どれほどの影響が出るか クラウドサービスがダウンして自社のサービスも停止した場合、どれほどの影響が出るか

このように、クラウドサービスで取り扱う情報の重要度によって、セキュリティ面をどの程度重視するかを変えていく視点が大切です。

セキュリティ面を重視してクラウドサービスを選ぶには、クラウド事業者が信頼できる事業者かどうかを確認することが非常に大切です。

信頼性を確認するためには、導入を検討しているクラウド事業者の企業サイトを訪問して、財務情報や利用者数などの実績などを確認しましょう。

クラウド事業者の信頼性を確認するチェックリスト 事業者が公表している財務情報を確認する 導入を検討しているサービスの利用者数などの実績を確認する 事業者の情報セキュリティ方針を確認する セキュリティに関連した認証・認定制度の取得状況を確認する

企業サイトに情報がない場合には、問い合わせて直接確認することをおすすめします。

また、特定の事業者のセキュリティ対策を確認する時には、中小企業庁が公開している「Smart SME Supporter 情報処理支援機関検索」が便利です。事業者名などで検索すると、どのようなセキュリティ対策を講じているかを確認できます。

事業者の信頼性を確認すると同時に、導入したいクラウドサービスの安全性・信頼性も確認しましょう。

クラウドサービスの安全性・信頼性を確認するチェックリスト サービスの稼働率や障害発生頻度、障害時の回復目標時間などのサービス品質保証を確認する 事業者またはプラットフォーム事業者が公表している品質保証基準（SLA）を確認する システムの障害でデータ消失などの被害が発生した時に、どこまでが事業者の責任で、どこからが利用者の責任なのかを利用規約で確認する

サービス利用時に障害による被害が発生した時に「責任がどこになるのか」も併せて確認しておくと安心です。

クラウドサービスやクラウド環境を利用する際には、本記事で紹介したように「しっかりとしたセキュリティ対策を講じたクラウドサービスを選ぶこと」と「サービス利用側が高いセキュリティ意識を持って運用すること」の両輪が必要です。

さらに高度なセキュリティ対策を行いたい場合には、セキュリティ分野を専門としたセキュリティサービスの利用をおすすめします。

クエストのセキュリティ製品の導入から運用・監視までのワンストップサービス「Q-SOC」では、最新事情をキャッチアップしながら、独自のセキュリティ監視センター（SOC）内の専門のセキュリティアナリストによる、セキュリティログの監視分析およびセキュリティ製品の導入、運用・監視などのコンサルティング含めたサービスをワンストップでご提供します。

「現在のセキュリティ対策が万全かどうか不安」「拠点や端末が増える中、セキュリティ対策が十分かどうか判断できない」「今のセキュリティサービスのコスト負担が大きすぎる」などのお悩みを抱えている方は、ぜひご相談ください。

長年培ってきたノウハウを活かして、高品質でありながら低価格なサービスを実現します。

セキュリティ製品の導入から運用・監視までのワンストップサービス 「Q-SOC」の詳細を確認する

本記事では「クラウドセキュリティリスク」について解説してきました。最後に、要点を簡単にまとめておきます。

 ▼クラウドセキュリティリスクとは

情報セキュリティ7大要素を脅かすような存在を「セキュリティリスク」と考えることができる つまり、クラウドセキュリティリスクとは、クラウド環境におけるセキュリティリスクのこと

クラウドサービスのセキュリティリスク一覧（7つのリスク）

重大なインシデントにつながる「不正アクセス」のリスク 年々巧妙化している「サイバー攻撃」を受けるリスク 企業の信頼低下にもつながる「情報漏えい・流出」のリスク 大切な情報を失う「データ消失」のリスク 従業員の内部不正（情報漏えい・機密データの持ち出しなど）のリスク サービス終了や障害による「サービス停止・サーバー停止」のリスク 「シャドーIT（企業が許可していないデバイスやシステムなど）」のリスク

クラウドのセキュリティインシデントが発生すると企業に甚大な被害が出る

億単位の金銭的損失（経済的損失）が発生する可能性がある 企業の社会的信用が失墜する可能性がある

クラウドセキュリティリスクを最小限に抑えるには2つの軸が重要

クラウドサービス側：技術的なセキュリティ対策が万全に備えられているサービスを選ぶ 利用企業側：従業員のリテラシーを高めて、内部要因のインシデントが発生しないよう徹底する

クラウドセキュリティリスクを回避する8つの対策方法

【重要】セキュリティ面を重視してクラウドサービスを選ぶ クラウドに保存するデータを暗号化する アクセス制御・アクセスログの監視を適切に行う ユーザー認証を強化する クラウドサービスの脆弱性を検知できるようにしておく クラウド上のデータ保管場所を適切に把握・管理する データ消失リスクに備えてバックアップを取っておく 外部への共有・公開設定をしっかりと管理する

さらに高度なセキュリティ対策を行いたい場合には、セキュリティ分野を専門としたセキュリティサービスの利用をおすすめします。クラウドセキュリティリスクに関する不安やお悩みがあればぜひクエストにご相談ください。