株式会社ZEROTOPのブログ

クラウドのアーカイブ

企業がクラウドを利用する場合のリスクと対策について

2015 年 2 月 4 日 クラウド

この数年で、クラウドサービスで、いくつか大規模な障害や事件が起きていますが、企業のクラウド利用は今後も増加していく傾向にあるようです。クラウドサービスを利用することの危険性やリスクを感じていても、基本的には利便性が高いので、ついつい利用してしまっている企業も多いのではないかと思います。

今回は、近年のクラウドにおけるトラブルを振り返りながら、企業がクラウドを利用する上で必ず認識しておかなければならないリスクと、その対策についてまとめます。

 

最近発生したクラウドサービスの主なトラブル

2014/4 「firestorage」のファイルURL、ヤフーの広告主が閲覧可能な状態に
大容量のデータをやり取りする際など便利なので、利用されている会社も多いですが、昨年の4月にyahooの広告主が、無料・非登録ユーザーによってアップロードされたファイルが閲覧できる状態になっていたというトラブルが発生しています。http://www.itmedia.co.jp/news/articles/1404/25/news168.html

 

2014/1 Dropboxが約2日間に渡ってダウン!
オンラインストレージ最大手のドロップボックスで、日本時間の2014年1月11日に世界中でサービスがダウンし、アクセスできない状態に陥りました。完全復旧まで約2日ほどかかりました。
http://gigazine.net/news/20140114-dropbox-down-2days/

2014/10 ドロップボックスのバグでユーザーファイルが完全消去
昨年の10月には、ドロップボックスのサーバーに保管していたユーザーファイルが完全に消失するという事態が発生しています。また、同時期に700万件のID、パスワードが流出!というニュースもありましたが、真偽のほどは不明です。
http://gigazine.net/news/20141014-dropbox-bug/

 

2014/9 有名人の写真が匿名掲示板に大量流出
Appleの「iCloud」からハリウッド女優など100人あまりの有名人の個人的な写真が流出し、SNSや匿名掲示板に投稿された事件。Appleではシステム的な問題ではなくユーザー名、パスワード、秘密の質問が破られたことが原因と発表しています。
http://www.itmedia.co.jp/enterprise/articles/1409/02/news037.html

 

2014/9 Gmailアドレスとパスワード約500万件が流出か
ロシア語の掲示板サイトにメールアドレスとパスワードを組み合わせた情報約500万件が掲載。流出元は不明でGoogle 側では「当社のシステムが破られた形跡はない」とコメントしています。
http://www.itmedia.co.jp/enterprise/articles/1409/11/news043.html

 

2012/6 ファストサーバー、サービス障害でweb・メールデータが消失
少し前の出来事ですが、クラウドに預けていたデータが消失してしまった事件。被害にあった顧客は約5700。webサイトやメール、顧客情報の喪失など被害総額1750億円とも言われる大事件です。
http://tech.ascii.jp/elem/000/000/704/704142/

 

企業が認識しておかなければならないクラウドのリスク

上記にあげたトラブルから考えると、クラウドサービスを利用する上で認識しておかなければならないリスクは概ね以下の6点に絞られます。

 

1 クラウドにあるデータは、トラブルにより消失してしまう可能性がある


2 クラウドにあるデータに、障害によりアクセスできない場合がある


3 クラウドサービスのID、パスワードへのアタックで不正ログインされる可能性がある


4 クラウドサービスを提供する企業から、人的な要因で情報が漏れてしまう可能性


5 トラブルが発生した場合、十分な損害賠償が得られない可能性も高い


6 データセンターの置かれた国によって、個人情報の取扱いなど法的な規制や場合によっては、検閲、データ差押えなどの可能性がある。

 

いずれも、クラウドに預けておいたデータによっては、中小企業の場合、深刻な事態につながりかねません。クラウドを利用する際には、これらの危険性を意識し、対策を準備した上で利用すべきです。

 

リスクへの対策

・データの消失、障害に対して
まず1,2に該当するデータの消失や障害によって、データが利用できなくなる場合については、常にバックアップをとっておくことが非常に重要です。
異なる媒体や形式で2ヶ所以上、1つは火事などの災害を考えると物理的に別の場所にバックアップをとっておくことが望ましいです。

 

・情報漏洩リスクへの対策
アカウントへの不正ログインに対しては、2段階認証を必ず設定すること、パスワードを定期的に変更したり、予想されやすいパスワードは避ける、他のサービスとのパスワードを重複させない、などが一般的です。
ただし、ベネッセの事件のように人的な要因で開発サイドから情報が流出してしまうケースもあり、サービス利用前に管理体制などをしっかり確認していたとしても、この可能性を完全に排除することは難しいように感じます。

 

・トラブル発生時の保証
事前に契約内容を確認する必要がありますが、利用規約で損害賠償の上限について記載されている場合が多く、トラブル時の保証については、あまり期待できないのが現状です。

 

・カントリーリスクについて
海外を拠点とするクラウドサービスについては、「利用を避ける」以外にこのリスクを完全に排除することはできません。

このように、企業として、クラウドサービスを利用するにあたっては、上記のようなリスクを可能な限り排除した上で利用していくことが必要です。

 

クラウドのリスクを解決!クラウドの利便性+万全のセキュリティ!次世代型プライベートクラウド「waffle cell」