このエントリーをはてなブックマークに追加 LINEで送る

最近は、業務にクラウドサービスを利用する機会も多くなってきました。

少し前までは、「業務データの保管は社内サーバに」が一般的だったとは思いますが、最近はクラウドストレージサービスを利用する企業が非常に増えてきています。

ストレージサービスだけでなく、チャットやメールなどのコミュニケーションツールに、クラウドサービスを利用している会社も多いでしょう。

クラウドサービスは企業に業務効率化などの恩恵をもたらしますが、一方、セキュリティ的に予期せぬリスクが発生することもあります。

今回は、そんなクラウドサービス利用に伴う代表的な3つのリスクと、それらの危険性を抑えるためのチェックポイントをご紹介します。

適切なログが取得できますか?

クラウドサービスの便利なところは、場所を問わずどこからでもサービスを利用できる所ですが、それは逆に言えば、私物のPCからでも利用できることを意味しています。

従業員が業務データを不正に私物PCにコピーしないためにも、サービス上で適切なログが取得されているかどうかを確認しましょう。

ログの種類には、ログインログ(いつ、どこから、どの端末でログインしたか)や、操作ログ(いつ、だれが、どのファイルを操作、ダウンロードしたか)などの種類があります。

自社のデータを保護するために、どのようなログが必要かをあらかじめ定めておき、そのログが取得できるクラウドサービスを選択するのが良いでしょう。

適切なアクセス権が設定できますか?

クラウドサービスには、魅力的な数多くの機能が標準装備されている場合も少なくありません。

しかし、その中には、「全顧客データのリストを出力する」であるとか「データを全て削除する」などといった、危険な操作が含まれている可能性があります。

そのような操作を、一般の従業員に許可するのは、誤操作や不正利用を防ぐという観点から、あまり好ましくありません。

そのため、サービス上で危険な操作のアクセス権が設定できるか、すなわち、危険な操作は管理者のみが実施でき、一般の従業員には実施できないように設定できるかを確認しておきましょう。

従業員から「間違えてデータ全削除のボタン押しちゃいました…」という報告が来ないようにしておきたいですね。

削除ボタンを押せば、データは本当に削除されますか?

クラウドサービス上のデータは、まさに雲の中にあるため、データの状態を利用者が見ることは困難です。

データを削除するために、クラウドサービス上で「削除」のボタンを押したとしても、たしかに画面上からはデータは消えますが、そのデータが本当に、雲の中のデータベースから完全に削除されているのかは利用者側からは確認できません。

このような見せかけの削除を「論理削除」と呼びます。

論理削除が問題となるのが、クラウドサービスのデータが漏えいしてしまった場合です。

「削除したはずなのに、データベースに残っていたため、自社のデータが漏えいしてしまった…」などといった事が起こらないように、データが確実に削除されるかどうかを確認しておきましょう。

以上、クラウドサービスを利用する前に確認しておきたい3つのポイントをご説明しました。

今使っているクラウドサービスや、新たに使おうとしているクラウドサービスはセキュリティ的に大丈夫なのか、ぜひチェックしてみて下さい。

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら 情報セキュリティに関する最新情報を随時配信中。最新トピックやよくある事故事例など、役立つ情報が満載です。
このエントリーをはてなブックマークに追加 LINEで送る
カテゴリー: クラウド

クラウドサービスを利用する前にチェックしたい3つのこと

最近は、業務にクラウドサービスを利用する機会も多くなってきました。

少し前までは、「業務データの保管は社内サーバに」が一般的だったとは思いますが、最近はクラウドストレージサービスを利用する企業が非常に増えてきています。

ストレージサービスだけでなく、チャットやメールなどのコミュニケーションツールに、クラウドサービスを利用している会社も多いでしょう。

クラウドサービスは企業に業務効率化などの恩恵をもたらしますが、一方、セキュリティ的に予期せぬリスクが発生することもあります。

今回は、そんなクラウドサービス利用に伴う代表的な3つのリスクと、それらの危険性を抑えるためのチェックポイントをご紹介します。

適切なログが取得できますか?

クラウドサービスの便利なところは、場所を問わずどこからでもサービスを利用できる所ですが、それは逆に言えば、私物のPCからでも利用できることを意味しています。

従業員が業務データを不正に私物PCにコピーしないためにも、サービス上で適切なログが取得されているかどうかを確認しましょう。

ログの種類には、ログインログ(いつ、どこから、どの端末でログインしたか)や、操作ログ(いつ、だれが、どのファイルを操作、ダウンロードしたか)などの種類があります。

自社のデータを保護するために、どのようなログが必要かをあらかじめ定めておき、そのログが取得できるクラウドサービスを選択するのが良いでしょう。

適切なアクセス権が設定できますか?

クラウドサービスには、魅力的な数多くの機能が標準装備されている場合も少なくありません。

しかし、その中には、「全顧客データのリストを出力する」であるとか「データを全て削除する」などといった、危険な操作が含まれている可能性があります。

そのような操作を、一般の従業員に許可するのは、誤操作や不正利用を防ぐという観点から、あまり好ましくありません。

そのため、サービス上で危険な操作のアクセス権が設定できるか、すなわち、危険な操作は管理者のみが実施でき、一般の従業員には実施できないように設定できるかを確認しておきましょう。

従業員から「間違えてデータ全削除のボタン押しちゃいました…」という報告が来ないようにしておきたいですね。

削除ボタンを押せば、データは本当に削除されますか?

クラウドサービス上のデータは、まさに雲の中にあるため、データの状態を利用者が見ることは困難です。

データを削除するために、クラウドサービス上で「削除」のボタンを押したとしても、たしかに画面上からはデータは消えますが、そのデータが本当に、雲の中のデータベースから完全に削除されているのかは利用者側からは確認できません。

このような見せかけの削除を「論理削除」と呼びます。

論理削除が問題となるのが、クラウドサービスのデータが漏えいしてしまった場合です。

「削除したはずなのに、データベースに残っていたため、自社のデータが漏えいしてしまった…」などといった事が起こらないように、データが確実に削除されるかどうかを確認しておきましょう。

以上、クラウドサービスを利用する前に確認しておきたい3つのポイントをご説明しました。

今使っているクラウドサービスや、新たに使おうとしているクラウドサービスはセキュリティ的に大丈夫なのか、ぜひチェックしてみて下さい。

Author: 井崎 友博
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら

情報セキュリティに関する最新情報を随時配信中。メールマガジン登録(無料)