クラウドユーザーのための“クラウド専用”のセキュリティ対策とは？：クラウドが浮き彫りにするリスク【後編】

クラウドサービスのセキュリティ対策には、オンプレミスのシステムと共通しているものもあれば、クラウドサービスの利用を前提として生まれたものもある。それぞれどのような対策があるのか。専門家に聞いた。

[大久保 心織，TechTargetジャパン]

　IaaS（Infrastructure as a Service）やPaaS（Platform as a Service）といったクラウドサービスは、企業の多様な働き方を可能にする一方で、システムを複雑にする。前編「『クラウドサービス』は何が危険か？　オンプレミスとの違いが生むリスク」は、クラウドサービス導入に伴って露見するセキュリティリスクを紹介した。

併せて読みたいお薦め記事

クラウドに潜むリスク

• クラウドの脆弱性に潜む9つの脅威、対策は？
• クラウドセキュリティの“最大の敵”が「人」である理由
• 最大のリスクは「ユーザー」と「GDPR」　専門家が語るクラウドセキュリティの危機

さまざまなクラウドセキュリティ製品

• 「CASB」とは？　クラウドセキュリティを強化する4つの役割
• 「ゼロトラストセキュリティ」とは？　クラウドが求めたセキュリティモデル

　クラウドサービスのリスクに対処するには、「クラウドサービスかどうかは関係ない基本的なセキュリティ対策」に加え、「クラウドサービスに特化したセキュリティ対策」にも注力しなければならない。企業ITのセキュリティに詳しい日立ソリューションズの扇 健一氏の話を基に、クラウドサービスを安全に使うための策を探る。

クラウドサービス、オンプレミス共通のセキュリティ対策

　システム全般に適用できる基本的なセキュリティ対策として「ネットワーク層の保護」がある。社外LANを通じて、IaaSやPaaSなどのクラウドサービスに配置した業務アプリケーションや業務用のSaaS（Software as a Service）を利用したりすることは、多様な働き方を推進するテレワークの実現に欠かせない。その際にVPN（仮想プライベートネットワーク）や専用線接続などを使って通信路を保護することで、安全な接続が確立できる。

　エンドユーザーが利用するデバイスに導入するエンドポイント型のネットワーク制御製品も有効だ。扇氏によると「許可した無線LANアクセスポイント（AP）のみに接続させる」「インターネットなどの社外ネットワークから社内LANに接続する際は必ずVPNを経由させる」機能などが役立つという。「従業員に対するセキュリティポリシー順守の呼び掛け」も根本的な対策になる。

クラウドサービスを前提として生まれたセキュリティ対策