オンプレシステムをクラウドサービスに移行する際の注意点を解説
公開:2022年02月24日
「働き方改革」や「DX推進」という言葉を耳にする機会がこの数年で一気に増えた、と感じているビジネスマンは多いかもしれません。
具体的には、テレワークの導入やWeb会議の浸透、企業によるペーパーレス化の取組が進み、「オフィスにいなければ仕事ができない」という状況を打破しています。また、「どこにいても仕事ができる環境の構築」を目標のひとつに掲げる企業が出てきたり、働く場所にとらわれない職種が世間の注目を集めたりと、日々、ワークスタイルの多様化がニュースに取り上げられることも増えました。
従業員の多様なワークスタイルを企業が可能にするには、ITシステムやクラウドサービスの導入が有効な手段となります。とりわけ、クラウドサービスを利用することにより、ネットワークに接続できる環境下であればどこにいても同じ情報にアクセスすることが可能です。どこからでも業務に必要な情報へアクセスできることで、場所を問わない業務遂行が可能になり、ジョブ型雇用なども促進されるでしょう。
導入することで企業に数多くのメリットをもたらすクラウドサービス。一方で、クラウドサービスを利用する際には注意点があることも事実です。クラウド型のソフトウエアや仮想サーバーの利用においては、情報漏えいや不正アクセス、通信障害による利用制限などの「クラウドセキュリティー」に関するリスクがあることも考慮しなくてはいけません。
すでにクラウドサービスを利用している企業や、これから導入を検討している企業にとって、「クラウドセキュリティー」のリスクは不安の種になり得るでしょう。
そこでこのコラムでは、クラウドサービスの利用にあたって押さえておきたいセキュリティー対策「クラウドセキュリティー」について解説するとともに、クラウドサービス導入時に考えるべきポイントについても紹介します。
このコラムを読んで分かること
- 近年、重要視されているクラウドセキュリティーについて
- クラウドシステム導入時に押さえておくべきポイント
- クラウドシステム導入後に企業側で行うべきセキュリティー対策
【目次】
- クラウドセキュリティーとは
- クラウドセキュリティー対策を踏まえたサービス導入時のポイント
- サービス導入後、利用時におけるクラウドセキュリティー対策のポイント
- まとめ
クラウドセキュリティーとは
はじめに、「クラウドセキュリティー」とは何かを解説します。
クラウドセキュリティーとは、その名の通りクラウド環境において求められるセキュリティー対策のことを指します。
クラウドサービスは時間や場所を問わず手軽に利用できる一方で、オンプレミス型のシステムとは異なるセキュリティー対策が求められることも事実です。クラウド環境下のシステムは適切なセキュリティー対策を講じていないと、以下のようなリスクが起こり得ます。
- 不正なデータアクセス
- データ盗用
- 意図しないデータ公開
- 顧客情報の流出
- 企業の機密情報流出
これらのようなセキュリティー上のリスクを抑えるために、クラウド環境、クラウド上で使用されるアプリケーション、保存されているデータの保護までを含めたすべてのセキュリティーを総称して、クラウドセキュリティーと呼びます。
オンプレミス型とクラウド型の違い
クラウドシステムは、従来の「オンプレミス型」システムとは根本的に仕組みが異なります。そこで、まずはクラウド型システムとオンプレミス型システムの違いとメリット・デメリット、そしてそれぞれ必要なセキュリティー対策について整理してみましょう。
オンプレミス型システム | クラウド型システム | |
---|---|---|
特徴 |
|
|
メリット |
|
|
デメリット |
|
|
セキュリティー対策 |
|
|
オンプレミス型システム | クラウドシステム | |
---|---|---|
特徴 |
|
|
メリット |
|
|
デメリット |
|
|
セキュリティー対策 |
|
|
自社にサーバーを設置し、自ら管理・運用を行うのがオンプレミス型システムの最大の特徴です。運用コストは高いものの、カスタマイズの自由度が高く、社内で策定したポリシーに則したセキュリティー対策を講じやすいメリットがあります。
これに対し、クラウドシステムは自社でサーバーを設置する必要がない分、管理コストがかからず手軽に導入できます。しかし、オンプレミス型システムに比べるとカスタマイズ性に劣り、利用するシステム毎にセキュリティー対策がなされているため、一貫した対策は難しいという点に留意しなくてはいけません。
クラウドセキュリティー対策を踏まえたサービス導入時のポイント
様々なシステムがクラウドサービスとして提供されている今、従来のオンプレミス型からクラウド型システムへの移行を検討している企業も多いでしょう。
そこで、先程ご紹介したクラウドサービスのメリット・デメリット、およびセキュリティー上の注意点を踏まえ、企業がクラウド型システムに移行・導入する際のポイントを解説します。
クラウド型とオンプレミス型の使い分け
「クラウド型」と「オンプレミス型」は、どちらが良い・悪いと一概に断定できるものではなく、双方にメリット・デメリットがあります。
そのため、オンプレミス型からの脱却やクラウドシステムへの完全移行などを目的にするのではなく、どの業務領域にクラウドシステムを導入するのがもっとも有効かを考えることが重要です。
企業において何をクラウドへ移行したいかを考え、そのためにはいかなるクラウドシステムが有効であるのかを選定するのが最初のステップだと言えるでしょう。
例えば、導入や管理がしやすく、従業員のワークスタイルにも柔軟に対応できるクラウド型システムのメリットを考え、情報共有の機会や社内外問わずデータのやり取りが多い部署では、積極的に導入を検討するのがおすすめです。反対に、社外には出すことのない企業機密や顧客情報、研究データなどにおいては、オンプレミス型システムの利用がセキュリティー面では有効である場合もあります。
サービス形態の選択
クラウドサービスを導入する業務領域が決まったら、それぞれの業務に対応したサービス形態を選択しましょう。
クラウドサービスには、ソフトウエアをインターネット経由で提供する「SaaS」や、プラットフォームとして提供する「PaaS」、仮想サーバーなどを提供する「IaaS」などが存在します。
業務内容や特性を考慮し最適なサービス形態を選択・導入すると良いでしょう。
コストを試算し導入の意思決定を行う
クラウドサービスを導入するメリットおよび、運用にかかるコストやセキュリティー対策コストなども加味した上で、最終的に導入すべきか否かを決定します。
クラウドシステムはオンプレミス型に比べると管理コストは低いですが、移行コストやセキュリティー対策コストなどを含めトータルで考えると高いコスト負担を強いられるケースも考えられます。
また、当然新しいシステムを導入することになるため、運用支援等を担う従業員の人的コストも考慮するとよいでしょう。
システムの導入と企業内での浸透までは、それぞれの企業が業務に合った活用マニュアルを作成する必要がある場合もあります。
従来のシステムから移行するメリットがどれだけあるのか、クラウドシステムに移行した際のコストはどれだけかかるのか、事前に細かく試算しておくことをおすすめします。
セキュリティー対策ガイドラインの作成・共有
クラウドサービスの導入と利用にあたっては、万が一セキュリティーインシデントが発生した際の対応などをマニュアル化し、ガイドラインとして全従業員に共有しておくことも大切です。
また、インシデント発生時でも、適切にアドバイスやサポートをしてくれるサービス提供者を選ぶことも事前に考慮しておくとよいでしょう。
サービス導入後・利用時におけるクラウドセキュリティー対策のポイント
自社に合ったクラウドシステムが導入できたら、その後、適切なクラウドセキュリティー対策を行うにはどのような点に気をつけるべきなのでしょうか。
ここでは、システム利用時にサービス利用企業側が行うべきセキュリティー対策を解説します。「SaaS」「PaaS」「IaaS」というサービスの提供形態によって、セキュリティー対策における責任分界点は異なるため、その点についてもご紹介します。
保存するデータの適切な分類とアクセス権の設定
クラウドのファイルサーバーにデータを保存する場合、機密性が低いものから極めて高いものまで様々なデータを置く可能性があります。
企業がWebサイトやSNSなどですでに公開している情報などは、機密性が高いデータに該当するとは言えないでしょう。しかし、顧客情報や従業員情報などの個人情報が含まれるもの、開発中の商品に関する情報、企業独自の研究情報などは、外部に情報が漏えいすると企業にとって莫大な損失が生じる可能性があります。
クラウド上に幅広い機密レベルのデータを置く場合は、適切なセキュリティー対策を講じるためにもデータの内容・種類に応じて分類し、それぞれの種類にあったアクセス権を設定することが重要です。
安全性の高いアプリケーションの構築
クラウドサービスはインターネット上で提供される以上、悪意あるユーザーから攻撃されるリスクを完全になくすことは難しいものです。情報漏えいの被害に遭うリスクはもちろんですが、クラウドサーバーに格納されている情報が知らないうちに改ざんされるケースもあります。
サイバー攻撃を回避する対策ももちろん重要ですが、それ以上に万が一攻撃を受けた場合に迅速に被害を検知できる環境も求められます。具体的には定期的に脆弱性診断テストを行なったり、WAF(Web Application Firewall:Webアプリケーションへの不正な攻撃・脆弱性を悪用した攻撃を防ぐために開発された専用防御ツール)の導入、マルウエアスキャンを実施したりするなど、様々な対策を複合的に行うことでリスクの軽減につながります。
「SaaS」導入企業のセキュリティー対策
「SaaS」を導入する企業は、データやコンテンツにおいて自社でセキュリティー対策を講じる必要があります。具体的には、ファイルへのアクセス制御やデータの暗号化が対策に該当します。
ソフトウエア自体のセキュリティー対策やアップデートは、サービスを提供する企業が随時行います。
「PaaS」導入企業のセキュリティー対策
「PaaS」を導入する企業は、データからアプリケーションまでのクラウドセキュリティー対策を自社で講じる必要があります。上述の内容にもあった通り、マルウエアスキャンや脆弱性テストなど、複合的なセキュリティー対策を心がけましょう。
「IaaS」導入企業のセキュリティー対策
「IaaS」ではさらにミドルウエアまでのクラウドセキュリティー対策が必要になります。導入したOSに対してミドルウエアをインストールした際、ミドルウエア用の脆弱性テストや適宜パッチを適用するなどの対策を講じるようにしましょう。
まとめ
クラウドサービスの導入にあたっては、特に以下のポイントに注意した上で検討することが重要です。
- 移行したいもの、利用したいサービスから最適な形態を選択
- コストを試算して導入するかどうかを検討する
- セキュリティー対策ガイドラインの共有
また、導入後も機密レベルに合わせたデータごとの分類やアクセス権の設定などを適切に行い、十分なセキュリティー対策を講じる必要があります。
クラウドサービスにはファイルサーバー系をはじめ、クラウドメール、人事系、会計系、給与系システムなど様々な種類が存在します。自社が推奨するワークスタイル、業務領域で有効なものからクラウドシステムへの移行を検討してみましょう。
その際には、セキュリティー対策が万全であるかを確認するとともに、オンプレミス型から移行して本当にメリットが大きいのかどうかもしっかりと考えることが重要です。
メールマガジン登録
上記コラムのようなお役立ち情報を定期的に
メルマガで配信しています。
コラム(メルマガ)の
定期購読をご希望の方はこちら