そのデータ管理、大丈夫？ 電帳法改正で見直す、情報セキュリティ：22年1月に向けて（4/6 ページ）

[瓜生聖，ITmedia]

クラウドストレージは、セキュリティを意識して選択を

　ペーパーレス化、脱ハンコの追い風となったのは、明らかに新型コロナウイルスの感染防止として急速に普及したテレワークだ。自宅からオフィスと同様に仕事ができるよう、VPNを全社に拡大した企業も多かった。だが、全社員がVPNを同時に利用するような使い方を想定していなかった多くの企業ではネットワークの深刻な速度低下を招いた。

　そこで、非常手段としてオンプレミスのファイルサーバとは別に、クラウドストレージを使用することを一時的に許可したところも多いのではないだろうか。

　しかし、今やテレワークは一時しのぎではなく、コロナ禍後でも継続されるニューノーマルのワークスタイルとして定着しつつある。セキュリティ的に十分な検討がないままの利用は時間がたつにつれて危険性も増す。

　そうなるといかにして、クラウドストレージでオンプレミスと同等のセキュリティを実現するか、ということが重要な命題となってくる。

　では、情報セキュリティという観点からはどのようなクラウドストレージを選ぶべきだろうか。クラウドストレージサービスの紹介ページを見ると、セキュリティ対策としてデータセンタでの物理対策やウイルス対策、災害対策などが出てくることが多い。

　このあたりは情報セキュリティの七要素である可用性に関わってくる部分であるため、そこがきちんとできていないサービスを使うべきでないことは当然だ。だが、その他の要素を満たすための基盤として十分な機能があるか、というところも重要だ。例えば、アクセスログが取れないクラウドストレージは責任追跡性・否認防止が担保できない。

　特に、今まで意識することなく維持できていた要素についても、オンプレミスであるが故に維持できていたのではないか、クラウドでは維持できないのではないか、と立ち返って考えることは重要だ。

　例えば、オンプレミスの場合はまず社内ネットワークに接続できなければストレージへのアクセスができないため、「社員証がなければオフィスに入れず、ネットワークにも接続できない」といった物理的対策によって機密性が守られていたという面もある。部外者によるなりすましも難しいため、真正性も一部担保されるかもしれない。

　一方、クラウドストレージはどこからでもアクセスできる。むしろそれがクラウドストレージを選ぶ理由の一つでもある。そのときにどうやって機密性・真正性を担保するのか。

　パスワード認証のみだと、ID／パスワードというたかだか数十文字が漏れただけで真正性は無に帰してしまう。しかも、それを社員全員が一人の例外もなく守り通さなければ機密性が守られない。知識認証のみに頼ったパスワードだけでは無理であることは明らかだ。そうなると多要素認証は必須となってくる。

　機密性を担保するためにはフォルダ・ファイル単位での柔軟なアクセス権限設定も不可欠だ。また、社員に対して無制限に権限を与えることは内部統制上も問題がある。

　軽はずみな社員がいたとしても、それが企業のリスクにならないようどこまで権限を与えるか、という点には細心の注意を払って検討する必要がある。たとえファイルやフォルダに対してフルコントロール権限を与えても、組織外の人には閲覧権限を付与できないようにする、ということが設定できないとリスクを抑え込むことは難しいだろう。そうしておいて、組織外との共有が必要なときにはしかるべき手続きを踏んで管理者が設定する、といったルール・運用が求められる。

　管理者自身の悪用にも対策が必要だ。責任追跡性・否認防止として有効な監査ログや設定変更時のアラートなどがあると抑止力としても効果がある。もちろん、監査ログ自体を管理者が改ざんできてしまっては意味がない。