クラウド時代のセキュリティを考える。

こんにちは。宇田津です。

ITに関わる仕事をしていてクラウドという名前を聞いたことがないという方はおそらくいないのではないかと思いますが、アプリケーション部分に焦点が当たっていると感じるケースも多く見受けられます。
例えばオンプレミスのメールサーバーをOffice 365に変えるとなると、クライアントはOutlook、メールボックスは○○GBというようなメールサーバーとしての機能はもちろん確認します。ところが、今までオンプレミスの頃は社内のみ利用可能だったものがOffice 365になった途端、自宅でも個人スマホでも利用可能になります。便利だからと言われればそれまでですが、そんな簡単に済まして良いのか、やはり疑問が残ります。
コストの問題もあるのでセキュリティ対策のレベルは企業によって異なりはしますが、最低限やっておくべき対策とは何か、今からでも遅くはないのでもう一度見直して頂きたいと思います。

クラウド時代の到来

2000年代後半からクラウドサービスが台頭し始めました。
Office 365やG Suite、Salesforce、Boxなど海外のサービスだけではなく、cybozu.comやSansan、楽楽精算など国産のサービスも数多く登場し、どれだけのサービスがあるのか数えるのも大変です。最近はテレビCMでもよく目にしますね。
今までオンプレミスのみで提供していたソフトウェア会社もクラウドサービスへ転換し、既存オンプレミス環境からクラウド環境への移行を推進するほどになっています。

その背景には、以下のようなオンプレミス環境のデメリットをクラウドサービスが解消してくれることが挙げられます。

<オンプレミスのデメリット>
・初期投資が膨大になり、導入まで時間がかかる
・自分たちで運用する必要がある
・減価償却や初期投資の問題もあり、変えたくても変えられない

提供する側の視点で言いますと、オンプレミスの場合は1回で大きな収益を得られる可能性もありますが、そのために大きなパワーを必要としその苦労が毎年続きます。クラウドになれば単価は低くても安定した収益を獲得できるので、企業としてもクラウドにシフトしていくのは理解できますね。

クラウドは全てにおいてオンプレミスを凌駕するか

ここで一つ疑問として上がるのが、なんでもクラウドサービスで良いのかという点です。クラウドというと大きくはパブリッククラウドとプライベートクライドに分かれますが、私たちが目にする多くのサービスはパブリッククラウドです。

ご存知の方も多いと思いますが、パブリッククラウドは企業が準備している1つの大きな仕組みをサービスとして顧客に提供するもので、原則顧客ごとにカスタマイズはできません。だからこそ運用コストを下げることができ顧客に対して安価に提供することが可能になります。

逆に言えばシステム的に差別化できないということになります。エディションや使い方の差はあったとしてもOffice 365は機能面で言えばどこまでいってもOffice 365です。システム的に自社でしかできない、競合に差をつけるという観点ではクラウドは不向きで、そういった場合はやはりオンプレミスを選択することになります。

とはいえ、このような差別化するシステムは企業システムにおいては一部分の話で、やはり多くのシステムはクラウド化の対象と考えて良いでしょう。昨今の働き方改革においてもクラウド抜きでは語れません。

クラウド時代の課題とは

クラウドサービスは様々なメリットを提供してくれます。

・初期費用もほとんどかからず、申し込めば1週間程度で使える
・システム運用はしなくて良い
・やめたければすぐにやめられる??

といったところはイメージしやすいでしょう。

ただ当然のことながら、世の中良いことばかりではなく、簡単に飛びつくとしっぺ返しを食らうこともあります。
大きな原因(課題)を2つ挙げるとすると、

・ID/パスワードが増えて覚えきれない
・インターネット環境があればどこでも、どんなデバイスでも利用可能になる

になります。
では、それぞれどういうことか見ていきましょう。

【ID/パスワードが増えて覚えきれない】

クラウドサービスは各メーカーが提供しているものなので、それぞれID/パスワードが存在します。5つのクラウドを導入すれば5つのID/パスワードを使うことになります。考えただけで面倒ですね。
ただ面倒だという単純な話で終わりません。複数のID/パスワードを持つとどうなるか。それぞれしっかりとしたID/パスワードを持ってきちんと使い分ける?おそらくはそうはならず、簡単なパスワードで使い分けるか、もしくは全部同じパスワードにするのがオチですね。

最も原始的ですが最も確実な攻撃方法としてブルートフォースアタック(総当たり攻撃)というものがありますが、簡単なパスワードならものの数秒から長くても数日で突破される計算結果も出ています。被害にあってない人はたまたま狙われてないだけで、狙われたらひとたまりもありません。とはいえ、とても複雑なパスワードにしても何個も覚えられるものでもないし、どうしたものか?

【インターネット環境があればどこでも、どんなデバイスでも利用可能になる】

今までのオンプレミス環境だと多くは社内利用のみ、外部から使えるとしてもいろいろ設定するので見えている範囲でということになるので安心感はあったと思いますが、クラウド環境は初めからインターネットがあれば接続可能な環境になっています。

言い換えると、何も対策をしなければ自宅やネットカフェ、個人のスマートフォンなど、場所問わずデバイス問わず企業の重要データにアクセス可能となります。社員などアクセスして良い人ならまだしも(本当に良いのか?)、もしアカウントを乗っ取られていたら?退職者のアカウントを消し忘れていたら?
ログは残っているかもしれませんが、ログは事後で既に手遅れです。犯人は捕まったとしても企業としてのダメージは計り知れません。

クラウド時代に必須の認証基盤とは

認証基盤と聞くと、認証を1つにまとめると考える人は多いと思いますが、クラウド時代の認証基盤とはそれだけではありません。
既に記述した2つの課題を両方満たすことが重要で、
「認証を1つにまとめ、クラウドへのアクセスをコントロールできるもの」になります。

既にクラウドを多く導入し上記課題に直面している方は理解しやすいと思いますが、今後クラウドを活用して働き方を変えていこうとしている方は必ずこの課題に直面することになります。初めから認証基盤を導入しておくと、スピーディにクラウドサービスを展開でき、早くそのメリットを享受でき、働き方改革を進めていけることになりますね。

もはや避けては通れないクラウド時代、安心して便利に活用するための方法の1つとして、皆様に知って頂きたいと思います。

投稿者プロフィール

宇田津 洋之
宇田津 洋之営業部 マネージャー
某IT会社よりマイクロソフト社に出向し、
プリセールスとして活動。
Active DirectoryやExchange、SharePointなどを中心に
中堅・中小向けのソリューション提案を行う。
現職からは認証基盤のクラウドサービスとして
Office 365やG Suite、Salesforceなど
国内外様々なクラウドサービスと連携し,
マーケットを拡大していくとともに、
営業部マネージャーとして二桁成長を実現。
パートナー企業とのアライアンスを推進し,
連携ソリューション開発を手がける。