最近は「クラウド化」というキーワードを頻繁に耳にするようになりました。「クラウド」とは日本語で表すと「雲」という意味になりますが、以前まではパソコン上でファイルなどのデータを管理する、ソフトウェアもパソコンにインストールして使うという使い方が一般的でした。しかしながら、現在ではパソコン以外にも、スマートフォンやタブレット端末などのスマートデバイスが普及し、1人で複数台の端末を所有していることは珍しいことではなくなりました。
そのため、ローカルで管理していたソフトウェアやデータを、サーバー上で管理することで、あらゆる端末からいつでもどこでもサービスが利用可能になったことから、それを揶揄して「クラウド」と言われるようになりました。
今回は、現在利用者が増えているクラウドサービスを使う上で、サービス業者を選定するにあたり予め確認しておきたいセキュリティ対策のポイントをお伝えします。
データセンターの物理的なセキュリティ対策
ご自身が所有しているファイルをクラウドサービスに預ける上で、はじめに確認しておきたいこととしては、データセンターでどの様な物理的な対策が行われているのかということです。
クラウドサービスは、今までご自身のパソコンやサーバーなどで管理していたデータを他社が運用しているサーバーに移すということになりますので、実態としては目に見えませんが、クラウドサービス業者がサーバーを設置しているデータセンターにご自身のファイルが保管されることになりますので、それらのデータに対して物理的にしっかりと守られていることが一番重要です。
データセンターでは、ICカードや指紋認証などによる入室権限などで誰でも入れないようになっている他、警備員を配置して人的警備を行うことに加え、監視カメラの設置やセンサー類などを利用した機械警備を完備し建物への不正侵入が防止されていることが前提に設計されている必要があります。
データセンターの自然災害対策
次に、データセンターで自然災害対策がどの様に行われているのか確認します。
特に、国内に拠点を置くクラウドサービスでは、地震のリスクが高いのは言うまでもありません。そのため、サーバーを保管しているラックに対して、揺れによる倒壊を防止することや内蔵ディスクの破損防止に備える必要があります。
また、停電が発生した場合、サーバーなどの機器を安全に停止できるようにするためにも、UPS(無停電電源装置)を接続することにより、電源を一定期間確保しておくことで機器を停止できる時間を確保します。また、サービス業者によっては、自家発電装置などを備えている場合もありますので、必要に応じてこちらも確認しておきます。
火災時は、基本的にサーバーなどの機器は水に弱いため、水を使わない消火設備を備えている必要があります。また、煙や出荷など火事を未然に防ぐために、予め検知できるセンサーなどの設置も求められます。
通信網におけるアクセス制御やマルウェア対策
クラウドサービスを利用するにあたり、ご自身の端末からクラウドサービス業者のサーバーまで通信網を経由して、データのやり取りが行われますが、サーバー本体からご自身の端末間をで安全に利用できるためのセキュリティ対策も求められます。
例えば、データへのアクセス制御として不正アクセス対策の実施やファイアウォール機能などの有無を確認します。その他、不正侵入を予め検知しておく「侵入検知システム(IDS)」や「侵入防御システム(IPS)」などの有無も合わせて確認しておくと良いでしょう。
また、マルウェア対策としてサーバー本体で実施しているセキュリティ対策に加え、通信経路ではSSLによる暗号化が行われているのかも重要なポイントです。
さらに、ファイルなどに対して、個別にアクセス権限を変更できるなど特定のユーザーのみが利用できることなど機密性を担保できることも合わせて確認しておきます。また、アクセスログなどの記録や取得、変更履歴などのバージョン確認などの機能の有無も重要です。
バックアップ対策や障害時の対応体制
データセンター内のサーバーで管理しているデータは、万全なセキュリティ対策を行っても、必ずしも100%データの消失から補償されているわけではありません。そのため、万が一の時を想定してバックアップ対策が行われているかも重要なポイントです。
また、有人による常時監視されていることで障害の発生も事前に検知する体制も重要になります。
サービス業者によっては、SLA(品質保障制度)により、万が一、提示された稼働率や品質など水準に満たない事態が発生した場合、料金が減額されるなどの補償の有無も合わせて確認しておくと良いでしょう。
