トピックス 2021.05.21 クラウドサービスはセキュリティ的に安全なのか?AWS、Gmailなどのクラウドサービスの安全性について解説
人々がインターネットを本格的に使い始めるようになって、間もなく30年ほどが過ぎようとしています。
最初はWebページを覗くくらいであったところから、次第にデータの保管領域を共有するサービスが出現してきて、今や誰もが気軽に利用するようになりました。
場所や端末の種類を問わず、いつでもデータにアクセスすることができる理想的な環境を誰にでも提供できる仕組み。
それは空に浮かぶ雲に例えられ、「クラウド」と呼ばれています。
顧客情報や会計情報、機密情報を多く含んでいるであろう電子メールまでもがクラウド化し、これからのビジネスのやり方が大きく変わろうとしています。
Gmail、iCloud、AWSのような巨大化した社会インフラともいえるクラウドサービス。
これらのサービスは、たくさんの人が、様々なデバイスから、いつでもどこからでもアクセスできます。利用者の管理状況や人的ミスが要因でセキュリティリスクが生じることがあるはずですが、本当に安全なのでしょうか。
この記事では、会ったこともない第三者に重要な極秘データを平気で預けているという、この現状を一度検証してみようと思います。
クラウドサービスの安全性について考える
まず第一に、クラウドサービスは安全なのでしょうか。
自分の目の届かない他人のところにデータを保存するということについて、「漠然とした不安」を抱えているため、なんとなく信用できないという方も多いのではないかと思います。
自分の目の届くところでデータを保存するのが一番安心できるというのは当然でしょう。
しかし、自社のセキュリティ対策が、きちんとできているかどうかの検証は抜きにして、「漠然とした不安」だけが先行するという場合も多いのではないかと思います。
では、自社内にてデータを置いて利用することは、安全なのか。外部からいろんな端末が持ち込まれるリスク、USBメモリでデータを抜かれるリスクはゼロなのでしょうか。
大体、機械が故障してデータが消失することは全くないと言えるのでしょうか。そもそも、地震が来たり火災になったら、その建物にあるデータは消えてしまいます。
このようなことを加味して考えた時、セキュリティのためにきちんと整備された環境にデータを置いた方がよい、すなわちクラウドに切り替えたほうが良いということが言えるでしょう。
安全に100%はありえません。そのため、クラウドサービスが安全だとは言えないのかもしれませんが、自社内にデータを置くよりクラウドサービスの方が安全で便利なのは確実だといえるでしょう。
国も安全評価基準の策定に乗り出す
代表的なクラウドサービスが、実際にどのような安全対策を取っているのかについては後で述べるとして、その安全性を証明してくれる機関はどこかに無いものでしょうか。
総務省では、「クラウドサービスの安全性評価に関する検討会」というものを平成30年から開催し、令和2年の1月30日に、それまでの検討会の取りまとめを発表しました。
この中で、今後、政府としてはシステムを構築する際の基本的な考え方として、「クラウド・バイ・デフォルト」という原則を掲げています。
要するに、今後はクラウドを利用することを前提にシステム構築を行いなさい、ということです。
この原則によると今後の政府のシステム構築は、ほぼもれなくクラウドサービス使うことになるのですが、構築する時の基本方針とは、大まかにいうと次のような仕組みになるようです。
1.国の基準を満たした監査機関が、システム構築に利用しても良いというクラウドサービスを認定し、認定済みクラウドサービスとして登録。
2.以降、各省庁でシステム構築をする際は、この登録された認定済みクラウドサービスを使う。
どのような要件を満たせば、国のお墨付きがもらえるのかは今後明らかにされるでしょう。
クラウドサービスにこのような公的な認定が与えられるのであれば、民間が利用する場合においても、かなり安心感が増すのではないかと思われます。
代表的なクラウドサービスを検証する
では、誰もが使っている有名なサービスは、どのようなセキュリティ対策を取っていて、どれくらい安全性があるのかについて調べてみました。
Gmail
ブラウザを介してメールのやり取りを行うGmailは、端末や場所を選ばない便利さゆえ、便利さとバランスの取れた強固なセキュリティ対策がとられています。
Googleが提供するGmailは、既定の設定ではかなり強固なセキュリティになっています。Googleのサーバーからユーザーの端末にメールが届く間、メールは完全で複雑な暗号化が施されています。(業界標準の128ビット暗号)
また、メールを送信する場合も業界標準の暗号化が行われます。(Transport Layer Security 1.1)
暗号化されたものを人間が目で見てわかる形に変換することを復号と言いますが、この複合のための鍵を持つのは、そのユーザーただ一人となっています。
したがって、Gmailを見るためには、
1.端末にログイン
2.Googleにログイン
3.2段階認証を使用していればパスコードを入力
して初めて見られるということになります。(Googleのログインは2段階認証の設定をお勧めします。)
便利で気楽に使っている人も多いと思いますが、実はかなり強固なセキュリティなのです。
ただ、Googleは広告が収入源。その効果を最大限に発揮するために、Gmailアカウントやメッセージのコンテンツ、検索の履歴にロボットによるスキャンが実行されています。
ということは、個々人のインターネット利用状況に関する非常に多くの情報を取得できる状態にあるわけです。
また、Gmailのような大規模サービスとなると、警察や政府の機関などから開示請求を受けることがあり、開示されると見られてしまう可能性も否定できません。
絶対的な秘匿性が重要な仕事にはGmailは使わない方がいいでしょう。
AWS Amazon Web Services(アマゾンウェブサービス)
AWSの特徴としては、Amazonと顧客の責任範囲を明確にしているところにあります。
Amazonは、自社側の責任範囲に関しては投資を惜しまない姿勢で、そのための設備に関しては充実しています。
AWSのデータセンターの入り口には、監視員とカメラがあることはもちろん、磁気センサーが設置してあり、HDDやUSBメモリなどの持ち込み・持ち出しを厳しくチェックしているとのこと。
ISO27001(情報セキュリティマネジメントシステムの国際規格)というものがありますが、これを取得している他、公的な認証を多く取得していると言いますから安心だと言えるでしょう。
Amazonは、ログイン時の2段階認証が標準となっています。したがって、登録した電話番号の携帯電話などを盗まれない限り、アカウントの乗っ取りなどに関してもまずは安心だと言えるでしょう。
ただし、他人に推定されやすいパスワードや、他のサービスのパスワードを使いまわすと危険性が増すのは言うまでもありませんし、遠隔操作などのツールを用いてリモートワークなどをする場合の安全性を担保するのはユーザーです。
これが、最初に述べたAmazonとユーザーの責任の範囲の違いを明確にしているということの意味だと思われます。
iCloud
クラウドシステムは数多くありますが、世界で最も利用者が多いであろうクラウドシステムがiCloudです。すべてのiPhone所有者が利用しているからです。
利用者が多いクラウドシステムはリスクが大きいと言われます。有名であるがゆえに、ハッカー集団などに狙われやすいからです。ハッカーとしては、Appleのサーバーに侵入してiCloudからデータを盗み出し、名を上げたいと思うことでしょう。
このような懸念があることをAppleは十分認識しているらしく、安全性については公式サイトで丁寧に説明をしています。
それによると、iCloudでは送信する時にも暗号化し、暗号化されたままデータは保存され、ユーザーの認証にはトークンを使用すること。
ユーザーしかその情報にはアクセスできないようになっていること。Apple自信もユーザーのデータを見ることはできないことなどが書かれています。
トークンを利用する2段階認証ということが、なりすまし防止には最も有効なのでかなり安心はできるでしょう。(ただiPhoneをなくすと致命傷となりますが。)
セキュリティ対策ができる限りなされていると言っても、そのユーザー数の多さから、常に攻撃の対象となっていることには変わりはありません。
また、Appleからのメッセージを偽装したフィッシング詐欺も非常に多く、使う側のリテラシーが問われます。
終わりに
大事なデータを他人にゆだねるのがクラウドサービスです。その安全性が懸念されるのは当然のことと言えますが、調べる限り、現段階では最高レベルのセキュリティ対策がされていると考えてもよいでしょう。
大事なのは、情報セキュリティというのは、クラウドサービスを運営する側だけで完結するものではないということです。
ユーザーレベルでのパスワードの管理であったり、端末の管理、ルーターなどのネットワーク機器の管理がきちんとできてこそ、はじめて万全なセキュリティとなります。
正しく理解して正しく備えることは、自然災害や事故に備える心構えと同じだと心得たほうが良さそうです。
<関連リンク>
Gmailを仕事で使っても大丈夫?(カスペルスキー)
https://blog.kaspersky.co.jp/is-gmail-safe-for-work/739/#:~:text=%E5%B9%85%E5%BA%83%E3%81%84%E4%BA%BA%E6%B0%97%E3%82%92%E8%AA%87%E3%82%8BGoogle,%E3%81%AF%E5%AE%89%E5%85%A8%E3%81%AB%E4%BD%BF%E3%81%88%E3%81%BE%E3%81%99%E3%80%82&text=%E3%81%97%E3%81%8B%E3%81%97%E7%B0%A1%E5%8D%98%E3%81%AB%E8%A8%80%E3%81%88%E3%81%B0,%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%A0%E3%81%91%E3%80%81%E3%81%A8%E3%81%84%E3%81%86%E3%81%93%E3%81%A8%E3%81%A7%E3%81%99%E3%80%82
クラウドサービスの安全性評価に関する検討会(総務省)
https://www.soumu.go.jp/main_sosiki/kenkyu/cloud_service/index.html
政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて(サイバーセキュリティ戦略本部決定)https://www.nisc.go.jp/active/general/pdf/wakugumi2020.pdf
政府が提唱するクラウド・バイ・デフォルト原則とは?企業における導入メリット6選(TOPGATE)
https://www.topgate.co.jp/cloud-by-default
AWSを使う人は必須!知っておくへ゛きリスクと行うへ゛きセキュリティ対策(クラウドセキュリティチャンネル)
https://www.cloud-security.jp/blog/aws-risk-and-security#toc-1
【実際どうなのAWS?】クラウド導入4大不安への取り組み(TIS)
https://www.tis.jp/special/platform_knowledge/cloud02/
iCloudに情報握られても、本当に安心なのか。セキュリティを捜査(ぶちくまどっとこむ)
https://buchikuma.com/review/iphone/apple-service/icloud-security/
iPhone、写真、およびiCloudアカウントを保護する方法(reincubate)
https://reincubate.com/ja/support/how-to/protect-iphone-photos-icloud/#criteria
TEXT:セキュリティ通信 編集部
PHOTO:iStock
- tag