クラウドのセキュリティ対策はファイル暗号化・DRM/IRMで

セキュリティが不完全なまま急速に拡大したクラウドの利用

ニューノーマルな時代を象徴するテレワークの普及やPPAPからの代替手段として、クラウド経由でのファイル共有は企業にとって一般的なものになっています。しかし、セキュリティが不完全なままで導入されているケースも非常に多く、ログイン情報の漏洩による不正アクセスや従業員のミスなど、様々なセキュリティインシデントが発生しています。

ファイル暗号化は多くのセキュリティリスクに対応可能

クラウドストレージにファイルをアップロード/ダウンロードする際に暗復号を行うことで、クラウドを取り巻く多くのセキュリティリスクから情報を守ることが可能になります。特にDRM/IRMによる暗号化はパスワード入力や管理負担もなく、利用者のストレスなく使うことができます。

多くのクラウドサービスと連携実績

弊社の提供する『DataClasys』はBox、Google Driveなど多くのクラウドサービスと連携し、ファイルアップロード/ダウンロード時の自動暗号化などを行った実績がございます。またBoxに関してはエコシステムソリューションとして認定を受けております。※お使いのクラウドサービスによって動作が異なる場合がございます。自動暗号化連携にご興味のある方はお問い合わせ下さい。

クラウドのセキュリティには暗号化が欠かせない

クラウドストレージには情報漏洩の懸念が付きまとう

クラウドストレージの導入を検討する上で、セキュリティに不安があるため採用を躊躇うケースは多くあります。実際、オンプレミスの場合と異なり、クラウドはインターネットを経由してどこからでもアクセスすることが可能なので、IDとパスワードがあればログインできてしまいます。これは社外の人間と情報共有する上で便利な点ではありますが、同時に第三者から不正アクセスを受けるリスクを増大させることにもなります。

その他にも、標的型攻撃や内部持出しなどファイルサーバーと共通のリスクに加え、権限・公開設定のミスや利用者による置き間違い、共有リンクの送信先の間違いなどのクラウドストレージ特有のリスクも考慮しなくてはなりません。クラウドサービス事業者のセキュリティ対策は年々向上していますが、それでも機密情報を外部機関のセキュリティに預けてしまうのは非常に危険です。自社の情報は自社で管理する責任があるのです。

WAFやCASBだけでは防げないデータ流出後のリスク

これらのセキュリティリスクに対し、広く行われている対策はWAF(Web Application Firewall)やCASB(Cloud Access Security Broker)などによる、クラウド利用の管理です。これらのツールはWebアプリケーションの脆弱性を狙った攻撃や、クラウドサービスへのアクセス状況を可視化することでシャドーIT対策などに役立ちますが、これらの手段も100%の安全性を担保するものではありません。特にファイルがクラウドからダウンロードされてしまうと、これらのツールによるセキュリティは効果を失ってしまいます。

クラウドを導入する際は必ずデータ暗号化による漏洩対策を

クラウドストレージからの漏洩を防ぐには、前述の対策に加え、保存するデータの暗号化が必要となります。これはクラウドサービスが標準で持つ暗号化ではなく、利用者側で鍵管理できる仕組みを意味します。ファイルに対し暗号化を施すことで、不正アクセスや内部持出し、誤送信などを原因とした漏洩は元より、クラウドサービス事業者側のミスや内部不正などにも対策することが可能になるのです。

クラウドストレージのセキュリティリスクとは

ログインIDやパスワードの漏洩による不正アクセス

クラウドストレージを利用の際に最も警戒すべきは不正アクセスです。第三者が何らかの方法で社員のIDやパスワードを取得し、社員になりすましてクラウドにログインすることで情報を窃取されることを指します。これに対して一般的な対策として考えられるのは2段階認証ですが、高度な標的型攻撃への対策としては十分と言えません。実際、2020年に三菱電機で起きたM365への不正アクセスでは、2段階認証を行っていたにも関わらず、不正アクセスの被害を受けてしまったという事実があり、不正アクセスを防ぐことの難しさを表しています。

悪意のある利用者による内部不正、持ち出し

内部からの持ち出しは正規の権限を持つ利用者によって行われるため、対策が非常に困難です。これを防ぐには情報資産の重要度をきちんと定義し、その重要度に応じてアクセス権を設定していく必要があります。しかし、フォルダに対するアクセス制御では、権限を持たない利用者が権限者に頼んでファイルを渡してもらうなどによって、簡単に持ち出せてしまいます。また、ログの取得し、ログを取得していることを周知することによって抑止を図ることも一定の効果を見込めますが、漏洩自体は防ぐことができないという問題もあります。

管理者による権限・公開設定のミス、あるいは従業員による置き間違い

多くのクラウドサービスにはアクセス権や公開・非公開の設定が可能となっています。しかし、利用者側での設定ミスにより、本来公開してはいけないデータの保存領域が公開設定にされていたことで情報漏洩を起こしてしまうケースが急増しています。また、従業員のミスにより、公開設定された領域に機密情報を置いてしまう危険性もあります。

共有用URLの送信先の間違い、誤送信

クラウドストレージは社外の人間とファイルやフォルダを共有するためのURLを送付しクラウド上で共同編集をすることができるが、メールと同じく宛先ミスなどによる誤送信のリスクが考えられます。

クラウドサービス提供者へのサイバー攻撃、または内部からの不正アクセス

クラウドサービス事業者へのサイバー攻撃によって預けているデータが漏洩してしまう可能性もあります。また、事業者側の従業員によるミスや不正アクセスによる持ち出しの可能性もあります。更に、データの保管先が海外の場合、保管先の国の法制度が適用されることになりますので、機微情報であっても政府からのデータ開示要求に従わなければならないケースも考えられるのです。(特にアメリカでは、2018年に成立したCLOUD法により、本拠地が米国にある企業は米国外のサーバーに保存されたデータに対する開示要求が可能となっています)

ファイル暗号化・DRM/IRMで対策を!

保管するデータを暗号化して保存

情報はファイル単位で管理されていますが、このファイル自体を暗号化することで、情報の漏洩を防止します。ファイルサーバー暗号化やディスク暗号化ソリューションとは異なり、一旦暗号化されたファイルは、どこに行っても暗号化されたままですので、クラウドからファイルがダウンロードされた後も、権限のない第三者には解読することができません。

ファイルベースでアクセスを制御し、エンドポイントで漏洩を防ぐ

暗号化されたファイルにアクセスする際は、専用のサーバーから認証を受けたユーザーのみが、与えられた権限範囲の中でファイルに記録された情報を利用することができます(閲覧・更新・印刷など)。外部の人間は勿論、内部の人間による不正利用や持ち出しにも対処することができます。

クラウドストレージに伴う多くのセキュリティリスクに対応

機密情報は暗号化した状態で保存することにより、クラウドストレージにまつわる多くのセキュリティリスクに対策することができます。例えば、仮に第三者からの不正アクセスを受けファイルが外部に漏洩しても、ファイル自体に暗号化保護がされていれば、クラウドの外でもファイルを守り続けることが可能です。同様に、内部の人間に対しても、復号の権限を制御することにより不正利用や持出しを防止することができます。更に、公開範囲の設定ミスや置き間違いについても、ファイル単位で権限設定が施されていれば安心です。このように、ファイルを暗号化することによって、クラウドストレージからの漏洩リスクを最小限に抑えることが可能なのです。

「政府情報システムにおけるクラウドサービスの利用に係る基本方針」での記載

2018年6月に内閣官房から示された「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の中では、政府情報システムにおけるSaaSの利用方針として、格納されるデータやデータベースについて機微な情報は暗号化を行うこと、また暗号化に使用する鍵については、クラウドサービス提供者側よりも利用者側で管理することが望ましく、選択可能な場合は利用者側で鍵管理が可能な暗号機能を選ぶことと記載されています。これは民間企業での利用においても同じように検討すべきポイントと言えるでしょう。

DataClasysでクラウドストレージのセキュリティ強化を実現

弊社の開発するDataClasysは官公庁・自治体を含む1,000社以上の導入実績を誇る純国産のファイル暗号化ソリューションです。多くのクラウドストレージと連携し、アップロード/ダウンロード時の自動暗号化などを実現しているため、クラウドストレージをご利用中のお客様への導入実績も多数ございます。

あらゆるファイルを暗号化、パスワード管理も不要

DataClasysはファイル形式に依存しない設計となっているため、Office系のファイルは勿論、図面やモデリングなどのCAD系ファイル、画像や動画のマルチメディア系ファイルなどあらゆるファイルを暗号化することができます。また、一度DataClasysを起動してしまえば、暗号化ファイルは今まで通りダブルクリックで利用可能。面倒なパスワード入力や管理の手間がないのも特徴の一つです。

クラウドストレージの自動暗号化機能

特定のクラウドストレージサービスではファイルアップロード、ダウンロード時の自動暗号化を実現しております。そのため、手作業で個別に暗号化を行う必要はありません。さらに自動で暗号化することにより、暗号化漏れの心配もありません。お使いのクラウドストレージサービスで自動暗号化が可能かどうかについてはお問い合わせ下さい。

暗号化ダウンローダーで取引先と安全にファイル共有

社外と安全にファイル共有をするために、ダウンロード時に強制的に暗号化をするツールもご用意しています。取引先の相手にこのツールを配布し、これを経由してファイルをダウンロードさせることで、取引先からの二次漏洩を防ぐことが可能です。また、本ツール上からクラウド内のファイルの検索やプレビューを確認することも可能です。

鍵管理サーバーはIaaS上に構築することも可能

暗号化ファイルを利用する際はDataClasys専用の鍵管理サーバーから復号鍵の配信を受けることを前提とします。このサーバーは暗号鍵が集中管理されていることによる漏洩の危険性を考慮し、SaaS型のサービスではなくお客様毎に独立したスタンドアロンでの運用を前提にしていますが、サーバー自体はMicrosoft AzureやAWSなどのIaaS上に構築することも可能です。

お客様の声

某サービス・小売業様

暗号化ファイルであってもダブルクリックでいつも通り開けますし、パスワードを都度入力する必要もなく、編集などの操作も暗号化前と同様に行えます。Windowsエクスプローラと同じような感覚でファイルをフォルダに出し入れするだけで、自動的に暗号化処理が行われるため、ITリテラシーに自信がないユーザーでも難なく使いこなせています。

某労働金庫様

利用や運用にほとんど手間が掛かりませんし、万が一ファイルが流出してしまっても、中身の情報は暗号化されており漏えいしませんから、セキュリティを管理する立場としても安心感が増しました。

某商工会議所様

ファイルフォーマットの網羅度という点においては、他の比較製品とは比べ物にならないほど充実していることが実感できました。費用対効果の面でも優れた製品だと感じました。

某証券会社様

P-Pointerとの連携により、個人情報に絞って暗号化できるという点に魅力を感じ導入を決めました。機密性の高いファイルを選んで暗号化できるところがポイントだと思います。

実際の運用事例が
わかる資料はこちら