新型コロナ禍でリモートワークが普及した結果、クラウドサービスを利用する企業・団体も増えてきたように感じます。そこで問題になるのはクラウドサービス利用に於ける情報セキュリティ対策はどうしたら良いのかという事になります。勿論、クラウドサービスにログインした後のセキュリティ対策は運営会社の責任に於いて行われるべきものであり、ユーザーには手出しが出来ない部分ではありますが、ログインする前の部分については行える事はあるんですよ。実は。

では、何をすれば良いのでしょうか?

クラウドサービスはその特性上、何処からでも使えるというのが利点になっています。それ故に、新型コロナ禍で普及が加速した印象があります。しかしながら、その特性故に不正なアクセスを如何に排除するかが重要な対策の一つになります。実は、不正なアクセスによって情報漏洩するとか、不正なメールが送信されるとか、事故が報道される事もあるんですね。あまり目に付きませんが。

不正なログインを排除する手段として「充分に複雑なパスワードを設定する」は基本的な対策ではありますが、フィッシングによってあっさりと突破される対策でもあります。実際、クラウドサービスへの不正なアクセスによる事故はフィッシングをトリガーにして発生している例が殆どです。なので、プラスαの対策として二要素認証(多要素認証)の設定を行う事は重要なポイントの一つになります。弊社ではスマホアプリのAuthyを使っていますが、他にもGoogle AuthenticatorやMicrosoft Authenticator等がありますので御検討ください。

その上で、もう一段上のセキュリティ対策を行うならCASB(Cloud Access Security Broker:キャスビー)を導入するのも手かと思います。これにより利用状況の可視化や、クラウドサービスに対するポリシーの一元管理、不審なアクセスの検知、不審な行動の検知を行う事が出来ますので先の二要素認証(多要素認証)よりも一歩踏み込んだ対策が出来るようになります。ただ、設定や運用には専門的な知識が必要とされるケースもありますので、そこら辺はコンサルティングサービスと同時に申し込む方が、より一層意味があるものになると思います。

また、CASBの導入で会社・団体で契約していないクラウドサービス(いわゆるシャドーIT)の検知も行えますので、それらを使用不可にするのか正式に導入するのかの判断材料にすることも可能です。管理外のクラウドサービスで何が起こっているのかを把握することは困難ですので、そこを可視化することは重要なポイントにもなりますし、管理外のクラウドサービスによる情報セキュリティ事故を防ぐという意味でも重要になります。実際、管理外のクラウドサービスからの情報漏洩事故は現実に発生していますし、一部は報道されてもいますから。

この記事を参考に、自社のクラウドサービスのセキュリティ対策を今一度見直してみてはいかがでしょうか?