「クラウドのセキュリティは不安」を払しょくする 中堅・中小企業がクラウド移行で実現する“モダンな”セキュリティ対策とは:セキュリティ対策としてのAWS移行のススメ(1/2 ページ)
セキュリティへの不安から、クラウド移行を推進できない中堅・中小企業は多い。本連載では、クラウドを利用することで享受できるセキュリティのメリットを紹介する。
この記事は会員限定です。会員登録すると全てご覧いただけます。
中堅・中小企業でもパブリッククラウドの活用が進むが、セキュリティ面の不安からクラウド導入に二の足を踏む企業も多い。
経済産業省が2021年に発表した「クラウドを活用した重要情報管理体制強化に向けた調査」によれば、クラウドを利用していないユーザーほどクラウドセキュリティに強い懸念を抱いているという調査結果が出た。
しかし、筆者は「クラウドを利用する事でセキュリティを高められる」と考えている。本稿では、「オンプレミス環境でセキュリティ面に課題を持っている」「セキュリティ面の不安からクラウド移行に踏み切れない」「クラウドに移行したいが経営層を説得できない」といった悩みを持つ中堅・中小企業に向けて、一般的な“セキュリティ対策の勘所”と「Amazon Web Services」(以下、AWS)の導入がもたらす“セキュリティメリット”を解説する。
この連載について
本連載は、クラウドのセキュリティに不安を感じている中堅・中小企業に向けて、全5回にわたってクラウドのセキュリティメリットや注意点を紹介する。クラウド移行を考える際に参考にしてほしい。
そもそもシステム運用で“最も”重要な要件とは?
システム運用を検討する際、最も重要視される要件は何だろうか。複数年にわたり使うことを考慮すると「コスト」は重要な要件だ。また、不特定多数の利用者に向けたシステムであれば、顧客満足度に直結する「パフォーマンス」も欠かせない。近年ではSDGsにも注目が集まり、「環境への配慮」も気になるだろう。
どの要素も重要だが、もし1つだけ選ぶとすれば、筆者は迷わず「セキュリティ」を挙げる。セキュリティ事故に対して企業が背負うリスクがあまりに大きいからだ。情報処理推進機構(以下、IPA)は2023年8月に「中小企業の情報セキュリティ対策ガイドライン」を発表し、企業がセキュリティ事故を起こした際に被る不利益として以下の4つを挙げた。
- 金銭の損失
- 顧客の喪失
- 事業の停止
- 従業員への影響
仮に取引先などの機密情報や個人情報を漏えいさせれば、損害賠償請求を受ける可能性がある。また、漏えいさせた情報の内容は問わず、社会的な信頼は低下し、顧客の喪失につながることもある。セキュリティ事故の内容によっては事業の停止も考えられる。
2021年には国内の大手食品製造会社がランサムウェアに感染し、全面復旧まで2カ月以上を要した。セキュリティ対策がおろそかでモラルが低い従業員がいれば、不正を働く可能性もある。
これらはいずれも事業にとって致命傷になり得る。だからこそ、中堅・中小企業は最優先の課題としてセキュリティ対策に取り組むべきだ。
情報セキュリティ対策の具体例
情報セキュリティ対策を難しくしている原因の一つに「抽象度の高さ」がある。筆者はさまざまな業界の中堅・中小企業とセキュリティの話をするが、かなりの頻度で「そもそも何をすべきか分からない」という課題を聞く。言ってしまえば「オフィスの設備」や「従業員教育」「情報資産管理」などもセキュリティに関係があるわけだが、中堅・中小企業がセキュリティを強化するには具体的に何をすべきだろうか。
この課題への回答には、米国国立標準研究所が公開している「NIST サイバーセキュリティフレームワーク」(NIST CSF)が参考になる。
NIST CSFは、重要インフラを扱うコミュニティーが普遍的に利用できるセキュリティ対策ガイドラインだ。「コア」「ティア」「プロファイル」という3つの要素で構成され、「コア」の中では情報セキュリティ対策を5つの機能に分類している。
各機能は以下の目的で分類されている。
- 識別:システムや人、資産、データ、機能に対するサイバーセキュリティリスクの管理に必要な理解を深める
- 防御:重要サービスの提供を確実にする適切な保護対策を検討、実施する
- 検知:サイバーセキュリティイベントの発生を識別するのに適した対策を検討し、実施する
- 対応:検知されたサイバーセキュリティインシデントに対処するための適切な対策を検討し、実施する
- 復旧:レジリエンスを実現するための計画を策定・維持し、あらゆる機能やサービスを元に戻す為の適切な対策を検討し、実施する
例えば、現在利用している情報機器に管理番号を振り、定期的に棚卸しを行っている企業も多いだろう。これは「識別」に分類され、「資産管理」といった性質を持っている。休日や深夜にサーバのパッチ適用を実施したり、年に1回などの頻度でサーバ証明書の差し替え作業をしたりすることもあるだろう。これらは「防御」の機能を持ったセキュリティ対策だ。
このように、日々の情報セキュリティ対策は5つの分類のいずれかに含まれる。これら5つを網羅するようにセキュリティ対策を行えば、組織のセキュリティレベルは上がる。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
ITmediaはアイティメディア株式会社の登録商標です。