企業がバックアップストレージをクラウドにアウトソーシングすると、企業データに対するコントロールの一部を放棄することになります。では、どのプロバイダーがデータを安全に保管してくれるのでしょうか?アクセスが容易な現代では、クラウドハッキングはもはや当たり前のことのように思えます。そのため、主流のクラウドサービスには一定のリスクが伴います。IT管理者として、ビジネスと自分自身を守るためには、クラウドバックアップの安全性を確保する要素と、クラウドバックアッププロバイダーがビジネスデータと個人データのプライバシーを守るためにどのような取り組みを行っているかを知ることが重要です。
主要クラウドプロバイダーとハッキング事件
クラウドバックアップサービスは、ほぼ無限にあります。大規模なものから小規模なものまで、共有ホスティングからプライベートサーバーホスティング、主流のものからごく一部の人だけが知っているものまで様々です。しかし、クラウドストレージ業界の主要プレーヤーは、Google Cloud Platform(GCP)、Amazon Web Services(AWS)、Microsoft Azure、IBM Cloud、そしてDropboxです。これらのサービスを選ぶ際には、各社のセキュリティ実績を参考にするのが良いでしょう。大規模なセキュリティ侵害とその後の対応は、クラウドバックアップのプライバシーに関する基準となるでしょう。
クラウドハッキングの多くは大企業を標的としています。主要クラウドプロバイダーの中で、過去2年間で注目すべき侵入被害に遭ったのはAzureとAWSの2社です。2017年には、デロイトのAzureクラウドバックアップがハッキングされ、推定500万件のメールが漏洩しました。2018年には、テスラのAWSアカウントが乗っ取られ、暗号通貨マイニングに利用されました。このマイニング計画に関与したハッカーは、少量の機密情報にもアクセスしました。
過去の事例が心配かどうかに関わらず、クラウドバックアップ会社の安全対策をよく調べて、ニーズに最適な会社を選ぶことが重要です。大手クラウドプロバイダーはそれぞれ、導入しているセキュリティ技術に関する十分な情報を公開しています。データを第三者に委託する際の判断にユーザーが安心していただけるよう、GCP、AWS、Azure、IBM Cloud、Dropbox はいずれもセキュリティの透明性に関する専用ページを設けています。もちろん、すべてが公開されているわけではありませんが、これらのセキュリティ情報を確認する際には、選択に影響を与える重要なポイントがいくつかあります。
暗号化
クラウドバックアップサービスは、様々なレベルの暗号化を採用しています。クラウドのセキュリティを比較すると、プロバイダーは少なくとも3つの基本レベル(クラウドへの送信時、クラウドからの受信時、クラウドに保存されているデータ)で暗号化を提供していることがわかります。
データは、インターネットを介して転送されている間、盗み見される可能性があります。安全なクラウドバックアップサービスには、転送中のデータの暗号化が組み込まれています。知識の程度によっては、採用されている暗号化の種類について意見が異なるかもしれません。しかし、どのような調査を行う場合でも、クラウドに送信またはダウンロードするデータの安全性を信頼できる理由について、各プロバイダーの説明を確認することをお勧めします。クラウドサーバー内に保存されているデータ、つまり保存データについても同様です。
各プロバイダーは暗号化方式を採用しており、ハッカーは適切なキーがなければ保存されたデータを読み取ることができません。ただし、クラウドバックアップを使用する場合、プロバイダーがキーを保有します。
クラウドを運営する企業よりも信頼できると考えるなら、バックアップ前にデータを暗号化することで、セキュリティをさらに強化できます。CertainSafeやAxCryptなどの暗号化ソフトウェアを使えば、自分だけが鍵を持つ独自の暗号化ロックを作成できます。ユーザー側のセキュリティ強化に加え、クラウド側の暗号化によってデータセキュリティもさらに強化されます。転送中のセキュリティをさらに強化するには、クラウドプロバイダーが提供するVPNサービスを検討してみてください。
有料のVPN
クラウドへの信頼性は、VPNという形でさらに強化することができます。VPNは、データを金庫(つまりクラウド)に送る際に保護するために契約する装甲車のようなものだと想像してみてください。Azure、GCP、AWS、IBM Cloudはすべて、クラウドサービスのアップグレードとしてVPNを提供しています。
ただし、このオプションを選択すると、クラウドサービスのコストが増加します。プロバイダーのVPNを利用するには、VPN接続時間(分)に基づいて追加料金を支払ったり、共有クラウドから分離された仮想プライベートクラウド(VPC)アカウントを購入したりする必要がある可能性が高くなります。独自のVPNを構築することもできますが、金銭的なコストだけでなく、VPNの管理にかかる時間的なコストも発生します。
これは、お客様側で追加のセキュリティ対策を講じなければクラウドバックアップを信頼できないという意味ではありません。クラウドプロバイダーは、お客様のデータセキュリティを確保するために様々な方法を採用しています。最も効果的なセキュリティ対策の中には、従来のファイアウォールよりも動的なものもあります。
アクセスの管理
セキュリティ対策を考える上で、「ファイアウォール」はクラウドプロバイダーにとって非常に重要なキーワードです。重厚で、抵抗力があり、強固な印象を与えます。ファイアウォールは外部からの侵入を防ぐ上で不可欠ですが、最も効果的なセキュリティ対策は内部からの攻撃も考慮に入れます。
ITの観点からは、アイデンティティとアクセス管理(IAM)に注目する必要があります。IAMプラクティスとは、様々な形態の認証を実装し、機密情報を必要とするユーザーのみがアクセスできるようにするポリシーのフレームワークです。IAMプラクティスには、複数レベルのパスワード認証、個人用のセキュリティ質問、権限管理、最小限のアクセス権限の付与などがあり、機密データへのアクセスを必要な少数の担当者に限定します。
サービスによっては、クラウドプロバイダーのインターフェースを通じて、ビジネスデータ用の多段階認証ネットワークを簡単に構築できます。例えば、GCPはクラウドサービスにCloud Identity機能を提供しており、メタレベルだけでなく、より詳細なリソース管理も行えます。AWSにはAWSマネジメントコンソールがあり、様々なレベルで権限を管理し、カスタムの多要素認証を設定できます。これらの認証には、AWSキーフォブやディスプレイカードなどのハードウェア認証や、時間ベースのワンタイムパスワード認証などが含まれます。
未来:機械学習
時代を先取りするために、あなたが生きている間にクラウド上で活躍するかもしれない未来のテクノロジーをいくつか見てみましょう。AIがあなたのデータを保護してくれるのを目にする日が来るかもしれません――そう、AIです。あるいは、より直接的に言えば、機械学習が、間違いを犯す人間ではなくコンピューター主導のセキュリティ監視の一形態となるかもしれません。
どのクラウドプロバイダーにも、セキュリティ侵害につながる可能性のある異常な事象を監視するスタッフがいます。経営者として、セキュリティアラートの管理も行うでしょう。AIは、正常なデータセットの様子を継続的に「学習」することで、人間がアラートをクリックするよりも速く異常を発見することで、同様の役割を果たします。研究者たちは、AIが現在の技術力で完全に支配権を握るには懐疑的であるため、これは実現は遠い未来の話かもしれませんが、業界の多くの人が検討していることは間違いありません。
結論
結局のところ、クラウドバックアップはサービスであり、クラウド大手はあなたのために働いています。ですから、他のビジネス上の意思決定と同様に、クラウドバックアップから何が得られるかをよく検討してください。利用可能なセキュリティスタッフとサポートサービスを検討してください。プロバイダーの専門知識と攻撃緩和能力は、クラウドとクラウドプロバイダーへの信頼を築く上で不可欠な基準となります。最高のセキュリティを実現するには、独自の暗号化ソフトウェアを購入し、VPNを使用してクラウドに情報を送信し、ニーズに最適なサービスを提供するプロバイダーを選択してください。
