ページトップへもどる

お役立ち情報&コラム お役立ち情報&コラム

【HR Tech】クラウドのセキュリティって実際どうなの? 情報セキュリティの勘所編

2019年03月01日

■まず、働き方改革やHRTechはどのくらい進んでいる?

はじめまして、市野です。
かなり今更感はありますが、今回は「働き方改革」関連の取り組みの中から、「クラウド」をピックアップしてまとめてみようと思います。

 

ちなみに、皆様の身の回りでは、「働き方改革」や「HRTech」に関連する取り組みはどの程度進んでいますか?
「クラウドサービスを日々の業務で使っている」「RPAの検討をした/導入した」「ノー残業デイがある」など進捗度合いに差はあれども、きっと何かしらの動きがありますよね。

 

広義に解釈した「働き方改革」のファーストステップは、ほとんどの企業で実践され、多少なりとも効果を発揮し始めているころではないでしょうか。

 

特にクラウドサービスは個人から企業まで幅広く利用され、情報の整理や共有という意味では非常に高い精度で業務効率化を実現していると思います。

 

数字としても、約57%の企業でクラウドサービスが利用されており、そのうちの約85%が効果を実感しているという統計が取れているようです。

 

 

 

 

(出典)総務省「通信利用動向調査」

一方で、「機密性の高い情報」や「基幹業務」に絡むような重要なシステムでのクラウド利用が倦厭されやすいように、セキュリティやコスト、パフォーマンスの面からオンプレミスのシステムを選択すべき場面も当然あるでしょう。

 

総務省の「通信利用動向調査」で公開されているデータを見ると、クラウドサービスを利用しないことを選択する理由としては具体的な理由が特定しにくい“必要がない”を除いた場合、「セキュリティ上の不安」「クラウド以降に必要な既存システムの改修コスト」「メリットがわからない、判断できない」が非常に高い割合を占めていることがわかります。

画像:クラウドサービスを選ばない理由

 

 

■クラウドサービスはセキュリティが不安?

私自身、お客様と会話をしている中で、「クラウドはセキュリティが不安だから……」という声をよく耳にしました。

 

IDとパスワードが漏洩した場合、“誰でも”“どこからでも”システムにアクセスし、情報を抜き取ることができる」というイメージがユーザの不安を煽る大きな要因になっているのではないかと想像しています。
近年ではPCだけでなく、スマホやタブレットが普及し、情報へアクセスすることのできるデバイスが増加していることも、高いセキュリティレベルを担保することを難しくしている要因の一つであるとも言えます。

 

事実、セキュリティに絶対の安全はあり得ません。セキュリティ対策とクラッキング技術は“イタチごっこ”であるからです。

 

……しかし、「クラウド=セキュリティ面に不安がある」という単純なロジックのみでクラウドに対する不信感を持っている方がいたら、もしかするとその考え方は“誤解”かもしれません。

 

 

■クラウドだからこそ担保できる安全性もある。

よくある極端なたとえですが、「自宅の金庫にあるお金」と「銀行に預けているお金」を比較した場合どちらのほうがより安全性の高いセキュリティレベルを実現できていると考えられますか?

 

おそらく、ほとんどの人が「銀行」だと答えるのではないでしょうか。

 

クラウドサービスのほとんどは、物理的にも非常に堅牢で強固な最新のセキュリティ設備を持ったデータセンターで稼働しており、情報セキュリティ技術のスペシャリストが常にデータ守っている環境から提供されます。

 

「限りなく侵入されにくい」ことに加え、仮に「侵入されたとしてもすぐに気づくことができる」万全の体制が常に整えられています。

 

「自社でサーバを管理していて、ネットワークから隔離されていれば侵入されにくい」
というのは決して間違いではありませんが、コストを抑えて常に最新のセキュリティレベルを担保するというのは非常に困難なことだといえるでしょう。

 

 

■クラウドだからこそ出来るセキュリティ対策とは?

セキュリティを向上するためには「守るものはできるだけ少なくし、それを徹底して守る」という手段が有効です。

 

自社運営で高いセキュリティレベルを実現しようとした場合、ネットワークやサーバ、社員からのアクセス制限、記憶媒体制限、社内規定など考えることがとても多いです。クラウドサービスの場合、この考えなくてはいけないことのうちいくつかの要素を「サービスの提供側」が担保し、保証してくれるのです。

 

 

とはいえ、もちろん自社内で考えるべきセキュリティ対策がなくなるわけではありません。管理者と利用者で守るべき対象は変わりますが、本記事では、ほんの一例として「利用者に“IDとパスワードは何があっても守らせる”」といういわゆる入口対策の“認証”に関する話を書いてみようと思います。

 

クラウドの認証では、多要素認証という技術がもはや一般的となりつつあります。

多要素認証とは、IDとパスワードのみではなく、ワンタイムパスワードや携帯電話番号やQRコード、指紋、虹彩、顔など複数の要素を掛け合わせて「本当に本人であるかどうか」を特定する手法です。

 

たしかに、ログインに手間がかかる分利便性は低下してしまうことになりますが、「セキュリティ」と「便利さ」は少なくとも現代技術ではほぼ例外なく“トレードオフ”になります。
個人的にはここに関しては、情報漏洩が起こってしまった場合の「投資額」や、サーバやネットワークの“御守り”をする時間とコストと比較すると、余程安く済みますし、生産性の向上にもつながると思いますが。

 

システム管理者側視点では、特にWEB系の場合マルウェアやサイバー攻撃対策も並行して行う必要があります。
こちらに対してはWAFWeb Application Firewall)というセキュリティ対策が有効です。

 

 

■まとめ

ここまでクラウドサービスについて書いてきましたが、誤解をしてほしくないのは
必ずしもクラウドサービスが優れているということを伝えたいわけではないということです。

 

本文中にも記載しましたが、クラウドではなくオンプレミスの仕組みを選択すべき場面も少なからずあります。

 

今後、DX(Digital Transformation)が加速するにつれ、クラウドからオンプレミスの移行が増えていくと予想する方々も決して少なくありません。
(近々内容をまとめて投稿するかもしれません)

 

大切なのは、「実現したいこと」に対してクラウドサービスという道具を選択することで、
より高い効果を複数の側面から矜持することができるかどうかを判断することです。

 

なんというか、それが一番難しいんですが……。。。

 

さて、今回はクラウドサービスのセキュリティについてまとめてみました。
クラウドサービスについてもまだまだ書きたいことは沢山ありますが、
いまのところは何度かに分けて投稿を行うつもりでいます。

 引き続き、よろしくお願いいたします!