「クラウドのセキュリティは不安」を払しょくする 中堅・中小企業がクラウド移行で実現する“モダンな”セキュリティ対策とはセキュリティ対策としてのAWS移行のススメ(1/2 ページ)

セキュリティへの不安から、クラウド移行を推進できない中堅・中小企業は多い。本連載では、クラウドを利用することで享受できるセキュリティのメリットを紹介する。

» 2023年08月18日 08時00分 公開
[濱田一成ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 中堅・中小企業でもパブリッククラウドの活用が進むが、セキュリティ面の不安からクラウド導入に二の足を踏む企業も多い。

 経済産業省が2021年に発表した「クラウドを活用した重要情報管理体制強化に向けた調査」によれば、クラウドを利用していないユーザーほどクラウドセキュリティに強い懸念を抱いているという調査結果が出た。

 しかし、筆者は「クラウドを利用する事でセキュリティを高められる」と考えている。本稿では、「オンプレミス環境でセキュリティ面に課題を持っている」「セキュリティ面の不安からクラウド移行に踏み切れない」「クラウドに移行したいが経営層を説得できない」といった悩みを持つ中堅・中小企業に向けて、一般的な“セキュリティ対策の勘所”と「Amazon Web Services」(以下、AWS)の導入がもたらす“セキュリティメリット”を解説する。

この連載について

本連載は、クラウドのセキュリティに不安を感じている中堅・中小企業に向けて、全5回にわたってクラウドのセキュリティメリットや注意点を紹介する。クラウド移行を考える際に参考にしてほしい。

筆者紹介:濱田一成 ソニービズネットワークス株式会社

【開発本部 インテグレーション部 クラウドインテグレーション課 開発グループ リーダー】

 2019年にソニービズネットワークス株式会社へ入社し、AWSエンジニアとして設計・構築業務に従事。AWSセキュリティを得意領域とし、ソニービズネットワークスのセキュリティコンピテンシー認定取得に貢献。2023年にソニーグループ初となる「2023 Japan AWS Ambassadors」に選出。



そもそもシステム運用で“最も”重要な要件とは?

 システム運用を検討する際、最も重要視される要件は何だろうか。複数年にわたり使うことを考慮すると「コスト」は重要な要件だ。また、不特定多数の利用者に向けたシステムであれば、顧客満足度に直結する「パフォーマンス」も欠かせない。近年ではSDGsにも注目が集まり、「環境への配慮」も気になるだろう。

 どの要素も重要だが、もし1つだけ選ぶとすれば、筆者は迷わず「セキュリティ」を挙げる。セキュリティ事故に対して企業が背負うリスクがあまりに大きいからだ。情報処理推進機構(以下、IPA)は2023年8月に「中小企業の情報セキュリティ対策ガイドライン」を発表し、企業がセキュリティ事故を起こした際に被る不利益として以下の4つを挙げた。

  • 金銭の損失
  • 顧客の喪失
  • 事業の停止
  • 従業員への影響

 仮に取引先などの機密情報や個人情報を漏えいさせれば、損害賠償請求を受ける可能性がある。また、漏えいさせた情報の内容は問わず、社会的な信頼は低下し、顧客の喪失につながることもある。セキュリティ事故の内容によっては事業の停止も考えられる。

 2021年には国内の大手食品製造会社がランサムウェアに感染し、全面復旧まで2カ月以上を要した。セキュリティ対策がおろそかでモラルが低い従業員がいれば、不正を働く可能性もある。

 これらはいずれも事業にとって致命傷になり得る。だからこそ、中堅・中小企業は最優先の課題としてセキュリティ対策に取り組むべきだ。

情報セキュリティ対策の具体例

 情報セキュリティ対策を難しくしている原因の一つに「抽象度の高さ」がある。筆者はさまざまな業界の中堅・中小企業とセキュリティの話をするが、かなりの頻度で「そもそも何をすべきか分からない」という課題を聞く。言ってしまえば「オフィスの設備」や「従業員教育」「情報資産管理」などもセキュリティに関係があるわけだが、中堅・中小企業がセキュリティを強化するには具体的に何をすべきだろうか。

 この課題への回答には、米国国立標準研究所が公開している「NIST サイバーセキュリティフレームワーク」(NIST CSF)が参考になる。

 NIST CSFは、重要インフラを扱うコミュニティーが普遍的に利用できるセキュリティ対策ガイドラインだ。「コア」「ティア」「プロファイル」という3つの要素で構成され、「コア」の中では情報セキュリティ対策を5つの機能に分類している。

NIST CSFによるセキュリティ機能の分類(出典:ソニービズネットワークス作成)

 各機能は以下の目的で分類されている。

  • 識別:システムや人、資産、データ、機能に対するサイバーセキュリティリスクの管理に必要な理解を深める
  • 防御:重要サービスの提供を確実にする適切な保護対策を検討、実施する
  • 検知:サイバーセキュリティイベントの発生を識別するのに適した対策を検討し、実施する
  • 対応:検知されたサイバーセキュリティインシデントに対処するための適切な対策を検討し、実施する
  • 復旧:レジリエンスを実現するための計画を策定・維持し、あらゆる機能やサービスを元に戻す為の適切な対策を検討し、実施する

 例えば、現在利用している情報機器に管理番号を振り、定期的に棚卸しを行っている企業も多いだろう。これは「識別」に分類され、「資産管理」といった性質を持っている。休日や深夜にサーバのパッチ適用を実施したり、年に1回などの頻度でサーバ証明書の差し替え作業をしたりすることもあるだろう。これらは「防御」の機能を持ったセキュリティ対策だ。

 このように、日々の情報セキュリティ対策は5つの分類のいずれかに含まれる。これら5つを網羅するようにセキュリティ対策を行えば、組織のセキュリティレベルは上がる。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.