企業でのオンラインストレージ“安全”対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

企業でのオンラインストレージ“安全”対策

2013/09/17


 コンシューマ向けのオンラインストレージサービスが広く普及する中、個人の責任の範囲内なら情報の共有や交換に外部サービスを利用するのはもう当たり前。しかし企業システムの運用管理を取り仕切ってきた管理者や機密情報を扱う部門の管理者、そして企業のセキュリティに最終的に責任を負う経営者にとって、コンシューマ向けサービスに慣れた従業員は不安の種だ。外部サービスの恣意的な利用は、どんな情報漏洩を引き起こすか知れたものではない。また会社として評価や検証もしていないクラウドサービス自体への不安もある。とはいえ高い利便性と効率性を推進力に転がり出したコンシューマライゼーションの車輪を止めることはおそらくできない。止められないなら、むしろ利点を生かしたうえで、より安全な方向へと導くのが得策。今回は、オンラインストレージを企業で上手に活用するための方法を考えてみよう。

オンラインストレージ

ユーザデータにパスワードなしでアクセス可能?広がったオンラインストレージへの不安

 オンラインストレージの企業利用に関する不安は、サービスがインフラとして使うクラウド基盤への不信感と、サービス自身のセキュリティ実装に対する疑念の2点に集約されよう。
 まずクラウド利用に関して言えば、高い可用性や信頼性を謳いながらも、いくつもの障害が実際に起きていることが問題視されている。国内では一昨年にストレージとストレージネットワークの欠陥による障害でユーザデータが復旧不可能な形で消去され、サービス再開ができなくなった事件があった。また昨年はクラウド側の管理者による更新作業の際に、プログラムのバグによって約6000ユーザのデータを喪失する事件も起きた。データセンタの電源トラブルが原因でホスティングしていたサーバが停止して多数のユーザが影響を被った事例もある。
 加えて海外サーバを使うクラウドサービスでは大規模なサービス停止が珍しくないほか、米国やEUなどでは犯罪捜査目的で企業データにアクセスできる法律があり、中国では検閲制度が存在するため、企業機密に部外者からアクセスされる可能性が指摘されている。また捜査当局にクラウドサーバが押収された場合、自社に非はなくとも他のユーザの巻き添えを食ってサービス停止に至りかねない懸念もある。
 次にサービス自身の問題では、今年はグローバルな大手オンラインストレージサービスで重要なセキュリティ障害が発生した。コード更新の際のバグにより、4時間ほどの間パスワードを入力しなくても全アカウントのデータにアクセスできる状態になったのだ。これは極めてレアケースだが、保証しているセキュリティ機能が正常に働かないことがあり得ることが実例で示されたことになる。
 また、セキュリティ機能やデータへのアクセス制御が標準の状態では企業システムのセキュリティポリシーと合致しない場合が多いことも、問題視されている。
 だが、こうした問題点を抱えながらもオンラインストレージは一部企業で活用されている。それは次のようなメリットがあるためだ。

 これらのメリットと、セキュリティ面でのリスクとを比較してどちらが重いと考えるかは企業によって異なるだろう。しかし仮に“オンラインストレージを利用しないこと”をポリシーにした場合でも、従業員が個人向け無償サービスを管理者に隠れて、あるいはセキュリティポリシーを意識せずに利用する可能性がある。ツールを用いて強制的に対象サービスに接続できなくすることもできるが、それが業務効率を妨げることにつながるとすれば、従業員は納得できず、会社としてデメリットを生みかねない。また次々に生まれる新しいサービスに追随して禁止範囲を広げるのは大変だ。
 大きな問題は、単純な利用禁止ポリシーを適用すると、管理者が管理はおろか把握もできない状態で従業員が社内情報を利用する「シャドウIT」を蔓延させてしまいがちなことだ。勝手にこっそりと行う外部との情報共有や交換は、明らかなセキュリティリスクになる。
 これを防ぐ方法の1つに、会社が納得できる安全性を備えたオンラインストレージを自社の推奨サービスとして指定し、活用を進めることが挙げられる。管理コストを低減するためにも、従業員に複数のサービスを利用させるのではなく、それだけを利用させるようにすると良いだろう。他の個人向けサービスと同程度の利便性や機能を備えるサービスを指定すれば、従業員があえて他の外部サービスを利用する理由がなくなるからだ。そこで問題となるのが、そんなサービスをどうやって選ぶのかということ。これについて次項で考えてみよう。


1

オンラインストレージ利用のリスクの正当な考え方

1-1

過大評価されがちなリスク

 リスクとメリットを天秤にかけるとき、要因の過大/過小評価は禁物。クラウドサービスのリスクを上述したが、クラウドの利用者の数に比較して果たして本当にリスクとして想定すべきかどうかは考えてみるべきだろう。実際にデータロストにつながったケースでも、適切なバックアップの分散保管が行われていれば復旧ができたと想定できる場合もある。まず、主な懸念ポイントについてリスクの大きさを考えてみよう。

■認証システムの障害や“パスワードリスト攻撃”に対するリスク

 いま最も懸念されているのが、“パスワードリスト攻撃”と呼ばれるクラッキング手法だ。これは何らかの形で漏洩したIDとパスワードのセットのリストを使って不正ログインを試みる手口であり、複数のサービスで同じID/パスワードを使いまわしている場合に成りすましが行われる可能性が高まる。しかし、この手法をはじめとしてオンラインストレージに不正アクセスを行う場合の攻撃者のメリットはかなり小さい。何しろ、どのアカウントにどんな情報があるのかがわからないので、攻撃者の利益になる情報が得られる確率が低いのだ。上述した大手オンラインストレージの認証システム障害の場合でも、仮に4時間まるまる不正アクセスしたとしてもネットワーク容量の制限を含めて考えると1つのアカウントから数GBから数十GBのデータをダウンロードできるだけだったと推測される。セキュリティの専門家によると、サービスに数千〜数万のアカウントがある中で、不正アクセスから得られる利益はクラッキングのコストと時間に比較して非常に小さいという。攻撃にボットネットを利用したとしても同じこと。一般的な攻撃手法としては効率が悪すぎるので、攻撃可能性は低いと言える。
 ただし、ソーシャルエンジニアリングの手法で重要情報を保管しているユーザを特定して狙い撃ちする場合は別だ。個人が管理しているパスワードの保管方法が悪かったり、もともとのパスワードが容易に推測可能なものだったりすると、情報が窃取される可能性がある。これはオンラインストレージの問題というより、社内のIT利用リテラシの問題と言えよう。

■ネットワーク盗聴による情報漏洩リスク

 オンラインストレージとの通信は最低でもSSLによる暗号化が行われているので、経路での盗聴は極めて困難だ。経済産業省の「クラウドサービスレベルのチェックリスト」で通信の暗号化に関して「SSLの場合は、SSL3.0/TLS1.0(暗号強度128ビット)以上に限定」することを推奨しているが、現行のオンラインストレージではさらに暗号強度の強い方式が採用されている場合も多い。また上述のように攻撃者の利益となる情報のありかがわからないまま盗聴を行うのは効率が悪く、これも攻撃可能性は低いと考えられる。

■クラウド業者の内部犯行による情報窃取

 クラウド業者内部の管理者にはどんな情報にもアクセスできる可能性がある。しかし実際にはクラウドの管理者の権限・職掌は分散されており、1人の管理者が悪心を抱いたとしても情報窃取に至らない場合が多い。また管理者の人数はサービス規模に比較して極めて少ない場合が多いので、従業員管理を徹底することは比較的容易だと考えられている。経済産業省の「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」には人的リソースについても記載があり、国内のサービスではこれに則った管理が行われていると考えてよいだろう。
なお、ほとんどのオンラインストレージではユーザデータは暗号化して保管されており、厳重に管理された暗号鍵を窃取しなければ解読できないようになっている。これも内部犯行のリスクを低減している。実際これまでのところ、世界でも内部犯行による情報窃取が行われた事例はない。

セキュリティ情報局にご登録頂いた方限定で「企業でのオンラインストレージ“安全”対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


オンラインストレージ/企業でのオンラインストレージ“安全”対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「オンラインストレージ」関連情報をランダムに表示しています。

オンラインストレージ」関連の特集


今回はオンラインストレージを利用することで、どのような作業を行わなくてもよくなるのかを中心に、オンラ…



強い組織を作るには「SMAC」を念頭に置いたコミュニケーション基盤が重要に。そのためのポイントをアナ…



社内SNS、チャット、オンラインストレージの導入状況を調査しました。


オンラインストレージ」関連のセミナー

Dropbox Business(企業向けDropbox)活用セミナー 【サテライトオフィス/Dropbox Japan】  

開催日 12月14日(水)   開催地 東京都   参加費 無料

■Dropbox Businessの概要 - Business版のDropboxは、個人版と何が違うのか?他サービスとの違い■Dropbox Businessで…

多様化する働き方の中で、自社に適した働き方とは? 【スターティア】 締切間近 

開催日 12月7日(水)   開催地 東京都   参加費 無料

【こんな方におすすめ!】・少ない従業員で業務を行うため、残業が多くなっている・女性の働き方を考えないといけない・働き方を変えたいが手段がわからない※中小企業のお…

Dropbox Business(企業向けDropbox)活用セミナー(大阪) 【サテライトオフィス/Dropbox Japan】 締切間近 

開催日 12月8日(木)   開催地 大阪府   参加費 無料

■Dropbox Businessの概要 - Business版のDropboxは、個人版と何が違うのか?他サービスとの違い■Dropbox Businessで…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006142


IT・IT製品TOP > エンドポイントセキュリティ > 暗号化 > 暗号化のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ