クラウドセキュリティとは
クラウドセキュリティとは、通信の暗号化やアクセス管理、データのバックアップなど自社のクラウド環境におけるセキュリティ対策を指します。近年、クラウドストレージやクラウドサービスは利便性が高く、低コストかつスピーディーな導入が可能なため、多くの企業で利用されています。しかしサイバー攻撃の対象になりやすく、毎年多くの被害が報告されているのが実情です。
クラウドセキュリティ製品はアクセス制御や異常検出などさまざまな機能を搭載しており、データ消失や情報漏えいなどのリスクから自社の情報資産を守ります。
以下の記事では、クラウドセキュリティの概要について解説しています。あわせてご覧ください。
クラウド上のセキュリティリスク
ここからは実際に発生した事故事例をもとに、クラウド上のセキュリティリスクについて解説します。
物理的・人為的要因によるデータ消失
クラウドサービスを利用する場合、サービス事業者側のシステムが災害やサイバー攻撃によってダウンし、データが消失する可能性があります。またクラウドサービスは複数人でデータを管理する場合があるため、上書きや誤操作などの人為的ミスによってデータを消失するリスクもあるでしょう。過去には、利用者によるヒューマンエラーに起因するデータ消失事故も起こっています。
2020年11月、公益財団法人ふくい産業支援センターが運営するサイト「ふくいナビ」では、クラウドサーバの利用更新手続きにおいて不備があったため、データ消失事故が発生しました。県内企業・各種団体の情報や利用者情報が消失し、復旧困難な状態に陥りました。
参考:福井県産業情報ネットワーク「ふくいナビ」の障害発生について | 公益財団法人ふくい産業支援センター
不正アクセスによる情報漏えい
クラウドサービスはインターネット回線を通じてベンダーのサーバを活用するため、サイバー攻撃やシステムの脆弱性をついた不正アクセスのリスクがあります。不正アクセスによる被害は、機密情報が漏えいするだけでなく、Webサイトの改ざんやデータの破壊行為、遠隔操作などさまざまです。
実際に2023年7月、株式会社エフ・アイ・ティは同社が運営する「FA機器.com」において、顧客の個人情報やクレジットカード情報などが漏えいしたことを発表しています。システムの脆弱性をついた不正アクセスを受け、アプリケーションの改ざんが行われたことが原因とされています。
参考:当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|株式会社エフ・アイ・ティ
内部関係者によるデータ流出
社内関係者によるデータのもち出しや、リンク共有先の誤送信などによって情報が流出する可能性もあるでしょう。またテレワークが普及し、どこでも作業ができるクラウドサービスの需要が急増しているため、データ流出の危険性はいっそう高まっています。
2023年3月株式会社NTTドコモは、業務委託先企業の元派遣社員によって596万人の顧客情報が不正にもち出されたことを発表しています。内部不正による情報流出は、事業中断や機会損失はもちろん、企業の社会的信用の失墜にもつながるでしょう。アクセス権限の設定やログの管理などクラウド上の情報セキュリティ対策はいっそう強化する必要があります。
参考:ドコモからのお知らせ : 【お詫び】「ぷらら」および「ひかりTV」をご利用のお客さま情報流出のお知らせとお詫び | NTTドコモ
クラウドセキュリティの種類
さまざまなクラウド上のリスクから自社の情報資産を守るクラウドセキュリティには、複数の種類があります。クラウドセキュリティで重要な「CASB」「SWG」「WAF」について解説します。
CASB
CASB(Cloud Access Security Broker)とは、SaaS型クラウドのセキュリティ対策に必要なツールのことです。ツールへのアクセス制御や利用状況の可視化、マルウェアの検出などに対応しています。複数のSaaSに同じセキュリティポリシーやガバナンスが適用されるため、情報漏えいのリスクを大幅に軽減できるのが特徴です。
SWG
SWG(Secure Web Gateway)とは、インターネットのトラフィックを分析し、既知の脅威を記録したポリシーと照合することで、悪意のある通信を遮断するツールです。URLフィルタリングやアプリケーション制御など、最低限のセキュリティ機能を搭載しています。サイバー上での脅威は年々多様化しており、CASBだけですべてのセキュリティリスクを排除するのは困難です。そのため現在のクラウドセキュリティでは、CASBに加えてSWGも重要になっています。
WAF
WAF(Web Application Firewall)とは、Webアプリケーション層における情報セキュリティを強化する専用防御ツールです。個人情報やクレジットカード情報を入力するWebサービスは、サイバー攻撃の対象になりやすく高度なセキュリティ対策が求められます。WAFは、クロスサイトスクリプティングやSQLインジェクション、DDoS攻撃など複数のサイバー攻撃から、Webアプリケーションを守ります。
クラウドセキュリティ製品の選び方
クラウドセキュリティ製品を選定する際には、自社の目的を明確にしたうえで、機能やカスタマイズ性、料金プランなどに着目するとよいでしょう。以下で詳しく解説します。
目的に沿った機能が搭載されているか
クラウドセキュリティ製品は、システムごとに機能や特徴が異なります。例えば、Webアプリケーションへのサイバー攻撃を防御したい場合は、WAFやIPS機能を搭載した製品がおすすめです。
また社内の情報管理体制を整えたいなら、特権IDユーザーによるアクセス権限や職務に応じた権限の割り当てなどを行える製品がよいでしょう。 社内外でメールを送受信する頻度が高い場合は、模倣ドメインや本文偽造などを事前に検知できる製品がおすすめです。製品選定前に、セキュリティを強化したい分野を明確化し、導入目的に沿った製品を選定しましょう。
自社にあったカスタマイズは可能か
クラウドセキュリティ製品には、あらかじめアクセス制御や異常検出などの機能がパッケージ化されている場合があります。複数の機能がオールインワンで搭載されていれば、幅広くセキュリティ対策ができ、管理も一本化される点がメリットです。
一方で、自社の目的にあわせて必要な機能のみを導入し、オーダーメイドでシステム構築可能な製品もあります。カスタマイズ性が高ければ、自社仕様に最適化できコストも必要最低限に抑えられるでしょう。
料金プランやライセンス数は適切か
導入するクラウドセキュリティ製品によって、アカウントあたりの月間契約や従量課金制など料金プランはさまざまです。最大トラフィック量に応じた課金金額が決定されるものが多いなかで、平均トラフィック量で課金される製品もあります。自社の予算に見合った料金プランかどうか、ベンダーに問い合わせてみましょう。
またクラウドセキュリティ製品のなかには、ライセンス数に制限を設けている場合があります。利用予定人数がベンダーの提供するライセンス数とマッチしているか確認しましょう。
【比較表】おすすめクラウドセキュリティ製品一覧
この記事で紹介しているクラウドセキュリティ製品について、特徴を一覧表にしました。なお、資料請求(無料)した製品の比較表をダウンロード可能です。社内検討の際に活用してください。
おすすめのクラウドセキュリティ製品を比較
ITトレンド編集部がおすすめする法人向けのクラウドセキュリティ製品を紹介します。特徴だけでなく、料金プランや無料トライアルの有無もぜひ参考にしてください。
《BLUE Sphere》のPOINT
- WAF/DDoS防御/DNS監視/サイバー保険がオールインワン
- ドメイン無制限で複数サイトを1つの契約で守る!
- 三井住友海上火災保険「サイバープロテクター」が無償で付帯!
「BLUE Sphere」は、株式会社アイロバが提供しているクラウドセキュリティ製品です。WAFや改ざん検知など複数のセキュリティ機能を組み合わせることで、強固な多層防御を実現しています。
サイバーセキュリティ保険が付帯しているため、サイバー攻撃によって多額の損害賠償を請求されても保険が適用されます。また一つの契約でドメインを無制限に登録できるため、複数のWebサイトを運営している企業にもおすすめです。
| 提供形態 |
クラウド / SaaS / サービス |
無料トライアル |
◯ |
| 参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
製品・サービスのPOINT
- IPS・WAF機能+クラウド監視の高機能を提供。月次報告書を付与
- 他社製品とは異なり、導入先サーバがダウンするリスクがない
- 面倒な設置工事、追加料金不要。官公庁、上場企業様採用実績多数
株式会社ロケットワークスが提供する「イージスWAFサーバセキュリティ」は、WAF・IPS機能が搭載されており、自社サーバへの不正アクセスをシャットアウトします。年中無休で稼働し自動アップデート機能を備えているため、自社で保守メンテナンスを行う必要がありません。
Dos/DDoS攻撃やブルートフォースアタック、ルートキット攻撃などの脅威にも十分対応できます。また定額制のため、追加コストが不要な点もポイントです。通信量の多いアプリケーションを扱っている企業におすすめです。
| 提供形態 |
クラウド / SaaS |
無料トライアル |
ー |
| 参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
《Cloudbric WAF+》のPOINT
- 特許取得のロジック&AIエンジンを搭載、高い攻撃検知力
- 5 in 1セキュリティ:WAF/DDoS/脅威IP/悪性ボット遮断/SSL証明書
- 24時間365日監視体制と専門家にお任せのマネージドサービス付帯
ペンタセキュリティ株式会社が提供する「Cloudbric WAF+」は、日本や韓国、アメリカで特許を取得した自社開発WAFエンジンで、新種の攻撃パターンも検出可能なクラウド型WAFサービスです。シグネチャーの新規追加や更新を要さずに高精度な検知が実現します。
導入時に加え、運用してからもセキュリティエキスパートによるサポートが充実しています。専門家による最新のセキュリティイシューのリサーチや分析、検証などを行うため、専門知識がなくても運用しやすいでしょう。
| 提供形態 |
クラウド / SaaS / サービス |
無料トライアル |
◯(30日間) |
| 参考価格 |
28,000円~
3カテゴリ、10プランあり |
製品・サービスのPOINT
- CISが提供する業界ベストプラクティスにてクラウド設定を確認
- 診断後も永続的なクラウド環境設定の監視を実現できる
- 自動診断と手動診断を組み合わせた診断
「クラウドセキュリティ設定診断」は、株式会社神戸デジタル・ラボが提供するセキュリティサービスです。さまざまなクラウドプラットフォームのセキュリティ状況を自動診断と手動診断を組み合わせて行います。
AWS Security Hubを用いて診断するため、通信料に関係なく月額一律のシステム使用料金です。セキュリティサービスの操作方法や検出された新しいイベントへの対応方法など、セキュリティエンジニアによる技術的なサポートも充実しています。
| 提供形態 |
サービス |
無料トライアル |
ー |
| 参考価格 |
300,000円~/リージョン |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Umbrella
「Umbrella」は、シスコシステムズ合同会社が提供するクラウド型セキュリティサービスです。DNSの名前解決機能の活用により、不正なファイルやWebサイトをブロックします。通信規格に関係なくDNS上で名前解決を行うため、ファイアウォールだけでは検知できない脅威にも対応可能です。また、ユーザビリティが高く、レクチャー動画などの手引がなくても簡単に操作できます。
| 提供形態 |
クラウド |
無料トライアル |
◯(14日間) |
| 参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Microsoft Defender for Cloud Apps
「Microsoft Defender for Cloud Apps」は、Microsoftが提供するクラウドセキュリティ製品です。高度な行動分析と機械学習により、不審なアクセスや操作を防止します。Microsoftが提供するクラウドサービス「Microsoft 365」を利用している企業におすすめです。
| 提供形態 |
クラウド |
無料トライアル |
◯(1か月) |
| 参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Cloud Optix
「Cloud Optix」は、Sophosが提供するクラウドセキュリティ製品です。さまざまな脅威に対してポリシーチェック機能が働くため、警告内容からクラウドサービスの設定ミスを検出します。またAIの監視機能により、さまざまな視点から不審なアクセスや操作を監視できます。
| 提供形態 |
クラウド |
無料トライアル |
◯ |
| 参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Cloud Access Security Broker (CASB)
「Cloud Access Security Broker (CASB)」は、Netskopeが提供するクラウドセキュリティ製品です。サービスの利用状況をさまざまな角度から評価した「CCI(Cloud Confidence Index)」 が特徴です。これにより、利用中のクラウドサービスのセキュリティ状況を確認できます。導入の際、パソコンに新しいソフトウェアをインストールする必要もありません。IDやDLPの制御も可能です。
| 提供形態 |
クラウド |
無料トライアル |
ー |
| 参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
Zscaler CASB
「Zscaler CASB」は、Zscalerが提供するクラウドセキュリティ製品です。Microsoft 365・SalesforceなどのSaaSや、Amazon S3などのIaaSに高度なセキュリティを構築します。DLP対策によって、許可されていないアプリケーションへの機密データのアップロードを防止できます。
| 提供形態 |
クラウド |
無料トライアル |
ー |
| 参考価格 |
ー |
※"ー"の情報はITトレンド編集部で確認できなかった項目です。詳細は各企業にお問い合わせください。
クラウドセキュリティ製品を比較して導入を検討しよう
クラウドセキュリティ製品は、ベンダーごとに機能や特徴が異なるため、自社の目的に応じて最適なものを選びましょう。自社のクラウド環境下におけるセキュリティ面での不安や必要となるセキュリティ機能を事前に洗い出しておくことが大切です。CASBやSWGについての理解を深めておくのもよいでしょう。
複数のクラウドセキュリティ製品を比較して、導入を検討してください。導入コストや活用事例など製品情報の詳細を確認したい場合は、資料請求の利用やベンダーへの問い合わせがおすすめです。
