オンラインストレージの暗号化や多要素認証などセキュリティ向上のための機能
2021年3月18日公開 (最終更新日:2021年3月18日)
オンラインストレージはインターネットを介して重要な情報をやり取りすることになるためセキュリティ対策がきちんとなされていることが求められます。企業向けオンラインストレージとして特に重要なのが暗号化と多要素認証です。また、それ以外にはどのような対策が行われているのでしょうか。
目次
1. オンラインストレージのセキュリティの重要性
総務省が実施した「通信利用動向調査(令和元年)」によると、クラウドサービスを利用している企業割合は2019年に初めて6割を超えました。用途はオンラインストレージが最も多く、利用効果があったと回答する企業が8割を超えています。数年前から利用率は上昇傾向にあったのに加え、2018年には政府がシステム構築の際はクラウドを前提に考える「クラウド・バイ・デフォルト原則」を掲げたこと、さらに2020年には新型コロナウイルス感染症予防対策としてリモートワークが急激に広がったことなども利用率向上に影響したと見られています。
(参照)https://www.soumu.go.jp/johotsusintokei/statistics/data/200529_1.pdf
その一方で、インターネット上に機密情報を保管することに対するセキュリティリスクを危惧する声も多く聞かれます。特にオンラインストレージは機密情報や個人情報を保管することから、安全に利用するためにセキュリティ対策が重要です。
オンラインストレージの特徴とは
オンラインストレージとは、インターネット上のサーバー容量を貸し出し、データを保管できるサービスです。自社でファイルサーバーを用意する必要がなく、保守作業も不要になるため、機器導入費用や人件費を抑えられるメリットがあります。また、セキュリティ面ではファイル保管時にUSBメモリーなどの記憶装置が不要になるため、持ち運びによる紛失、盗難、破損といったリスクが軽減します。
ネット越しにファイル共有するセキュリティリスク
オンラインストレージは、その利便性から多くの企業が導入しています。しかし、インターネット上のサーバーを利用するため、不正アクセスにより機密情報が外部へ漏えいするリスクは常に付きまといます。サービスを提供するサーバーが外部から攻撃にあったり、サービス提供企業側の管理ミスによって情報漏えいが起きる可能性もあります。
また、サービス利用企業側の問題によって不正アクセスされる要因としては、社員がログインパスワードを使いまわすなどのずさんな管理により第三者にパスワードが知られてしまう、システム管理者によるアクセス権限の設定ミスで重要な情報が保管されたフォルダーに誰でもアクセスできる状態になってしまう、フィッシングメール・標的型メール攻撃などでログイン情報が流出しアカウントを不正利用されてしまう、といったものが考えられます。
情報漏えいは致命傷になりうる
万が一、不正アクセスにより機密情報が漏えいした場合には、さまざまな問題が起きる可能性があります。
まず考えられるのが個人情報の漏えいです。近年、不正アクセスにより大規模な個人情報漏えい事件が頻繁に発生しています。2020年だけでも大手チケット販売サイト、スマホ決済サービス提供企業など数百万~数千万件単位で個人情報や営業情報の漏えいがニュースなどで取り上げられるため企業・ブランドイメージの棄損や社会的信用の低下につながります。さらに、顧客から損害賠償を求める訴訟を起こされる例もあり、資金的にも大きなダメージを受けます。
また、最悪の場合には漏えいした情報が犯罪へ利用される可能性もあります。2020年、人気アーティストのグッズ販売サイトで個人情報が保存されたサーバーが不正アクセスされプログラムが改ざんされたことにより、約45,000人分のクレジットカード情報が漏えいしました。流出した情報にはカード番号だけでなく名義や有効期限、セキュリティコードも含まれていたため、クレジットカードの不正利用につながりました。そのほかにも漏えいしたメールアドレスがスパムメール送信の踏み台にされるなど2次被害に遭う可能性もあります。
2. オンラインストレージの暗号化について
インターネット上に情報を保管するということは、上記のようなセキュリティリスクが発生することを踏まえた上で、対応を行うことが大切です。オンラインストレージは不正アクセスされないことが最善ですが、万が一、自社の保管している情報に不正アクセスされた場合でも、保存されているデータが暗号化されていれば悪用を防ぐことが可能です。
暗号化は非常に重要であるため、詳しく暗号化について解説します。
暗号化とは
暗号化とは、第三者がデータの中身を理解できないように変換することです。デジタルデータにおける暗号化の基本的なしくみは、「自分のデータを、ある手段(アルゴリズム)を用いて変換し(暗号)、受け取った相手も同様の手段によってもとに戻す(復号)」という流れになります。暗号化を行うために用いられるデータを「鍵」と呼び、共通鍵(秘密鍵)暗号方式、公開鍵暗号方式という2方式があります。
共通鍵暗号方式とは、暗号と復号で共通の鍵を用いる方式です。鍵を第三者に知られてしまうとデータが復号できてしまうため、当事者同士以外には鍵を知られないように管理する必要があります。データを送る相手ごとに異なる鍵を用意する必要があり、管理が煩雑になるのがデメリットですが、処理速度が高速というメリットもあります。
公開鍵暗号方式とは、暗号には公開鍵を、復号には秘密鍵を用いる方式です。誰でも暗号化できる一方で、復号は公開鍵とセットになった秘密鍵でしか行えないため、安全にデータをやりとりできます。共通鍵暗号方式よりも処理速度は遅くなりますが、管理する鍵の数が少なくて済むのがメリットです。
共通鍵暗号ではAESが、公開鍵暗号ではRSAが代表的なアルゴリズムです。鍵の安全な配送と暗号化のスピードを両立させるために、データの暗号・復号は共通鍵暗号を用い、共通鍵自身は公開鍵を使い暗号化するといった組み合わせた方式がよく使われます。
通信の暗号化
暗号化は、データをやりとりする通信そのものにも行われており、ウェブブラウザーとウェブサーバー間の通信を暗号化する際に使われるのが、SSL/TLSという通信手順です。Secure Sockets LayerとTransport Layer Securityは、ほぼ同じ仕様で現在はTLS1.2/1.3が主流ですが、SSLの知名度が高いため慣用的にSSL/TLSと呼ばれます。TLS1.2/1.3では、共通鍵としてAESまたはChaCha20が使われ、暗号化に必要な公開鍵情報はSSLサーバー証明書に含まれます。SSLサーバー証明書は認証局と呼ばれる第三者機関が管理しています。
おおまかにTLSの流れを説明すると以下の通りです。
1. ウェブブラウザーとウェブサーバーが利用する暗号方式を決定した後に証明書でサーバーの認証を行い、使用する公開鍵情報を共有。
2. ウェブブラウザーは共通鍵を生成し、受け取った公開鍵を用いて暗号化したデータをウェブサーバーへ配送。
3. ウェブサーバーは自身が持つ秘密鍵で復号して共通鍵を手に入れた後、暗号化通信を行う。
ファイル保存の暗号化
すべてのストレージサービスが対応しているわけではありませんが、通信の暗号化に加えて、データを保存するオンラインストレージ自体を暗号化する方法もあります。保存するデータは共通鍵暗号方式で暗号化され、ログインなどで認証された(鍵を保有している)ユーザーがアクセスするとデータは復号された状態で表示されます。それ以外のユーザーはデータを復号できないため、情報漏えいに対する安全性が高くなります。暗号化・復号処理はサービス側で行われるため、利用するユーザー側の作業負担はありません。
3. オンラインストレージでの多要素認証・2要素認証
暗号化は、データが漏えいした場合に備えて通信やデータを保護する目的で行われます。対して、悪意を持ったユーザーがアクセスできないようにユーザーの真正性を確認する目的で行われるのが認証です。
認証とは、通信を行っているユーザーが本人かどうかを確認する手段です。IDとパスワードの組み合わせがよく利用されますが、さらにセキュリティを強化するためには別の認証手段を追加します。複数の認証手段を用いることで安全性を強化し、なりすましなどのリスクを軽減します。
多要素認証・2要素認証とは
認証に用いられる要素としては、パスワードやPINコードなど本人のみが知っている「知識情報」、ICカードやスマホのSMS認証など本人のみが持っている「所持情報」、さらに指紋、虹彩など本人自身の「生体情報」の3つがあります。ここから複数の要素を用いて認証を行う方式を多要素認証と呼び、特に2つの要素を用いる場合は2要素認証と呼びます。たとえば銀行のATMで導入されている指静脈認証は、従来の暗証番号(知識情報)と指の静脈パターン(生体認証)を組み合わせた2要素認証です。
2要素認証と2段階認証の違い
2要素認証と混同しやすい用語に2段階認証があります。これは認証を2段階に分けて行う方式で、要素数は問いません。たとえば、IDとパスワードを入力後に事前に設定した「秘密の質問」を答える方法は2段階認証ですが、どちらも知識情報を用いた1要素認証です。
4. 重層的なオンラインストレージのセキュリティ対策
オンラインストレージのセキュリティ対策は1つのみではなく、暗号化、多要素認証に加えて、複数の対策が重層的に行われています。ここでは代表的な5つの対策を紹介します。ユーザー側の対策だけでなく、サービス側が対応する対策にも触れています。
拠点や時間帯によるログイン制限
IPアドレス、日付、ログイン失敗回数などの条件でオンラインストレージにアクセスできるユーザーを制限し、不正ログインのリスクを軽減します。これにより社内のネットワークからでしかログインできない、休日はログインできないといった管理が可能です。
通信経路である不正アクセス対策
不正アクセスの予防対策だけではなく、万が一、不審なファイルやアクセス履歴が発見された場合にはネットワークから遮断するための対策を用意します。具体的にはユーザーがファイルを保存、利用する際にウイルスチェックを実行し、ウイルスが仕込まれたファイルが入り込むのを防ぐ対策や、パケット単位、Webアプリケーション単位でフィルタリングを行うファイアウォール、さらに不正アクセスを検知した際の遮断対策としてコンピューター上の不審な振る舞いを検知するEndpoint Detection and Response(EDR)を導入するなどの対策があります。
サーバー自体の保全
サービス側でトラブルが発生した場合に自社のみで対応することは極めて難しく、予期せぬ障害によって自社サービス・業務がストップしてしまう可能性があります。そのため、安全対策をきちんと行っているサービスであるかどうかを見極めることが重要です。
サービスによって対応内容は異なりますが、ファイル保存時にRedundant Arrays of Inexpensive Disks(RAID)と呼ばれる複数ドライブへ分散保存する冗長化はもちろん、災害時にスムーズにデータを復旧できるように遠隔地へバックアップするディザスタリカバリ(DR)対応などの実施が不可欠です。事業継続計画(BCP)を考える上でもサーバー保全は重要な項目といえます。
企業の人的な管理・コンプライアンス
最後に、セキュリティ対策として注意したいのがサービス提供側のコンプライアンスです。サービス提供側の人的な情報漏えいもありえます。信頼性が高い企業が提供するサービスを選ぶことで、リスクが軽減します。
オンラインストレージを安全に利用するには、自社でセキュリティ意識を持って利用すると同時に、信頼できる企業、セキュリティ対策をきちんと行っているサービスを慎重に選定することが必要です。プライバシーマークやISO27000などの認証を取得しているかどうかも選定ポイントになります。
NTTコミュニケーションズが提供する法人向けオンラインストレージ「Bizストレージ ファイルシェア」は、ウイルスチェック・暗号化・不正アクセスの検知と遮断に加え、ログイン制限機能などを備えた豊富なセキュリティ機能が特徴です。安全性・安定性共に顧客からの評価が高く、高いセキュリティを求める企業に最適なサービスです。
・Bizストレージ ファイルシェアについての資料ダウンロードはこちら「資料ダウンロード」にアクセスください。
・無料トライアルをご希望の方はこちら「無料トライアル申し込みページ」からお申し込みください。