企業におけるクラウド化の進展

総務省「平成30年通信利用動向調査」によると、クラウドサービスを一部でも利用している企業の割合は2018年では58.7％であり、増加傾向にある（図1）。

これを従業員規模別にみると、5,000人以上の大企業では83.2%と8割を占めている。一方、従業員100～299人の企業では53.3％と半数にとどまるが、2017年調査の39％からは増加しており、中小企業においてもクラウド化が進展していることがわかる。

【図1】クラウドサービスの利用状況
（出典：総務省「平成30年通信利用動向調査」）

利用しているクラウドサービス

利用しているクラウドサービスの内容では、「ファイル保管・データ共有」（52.8％）、「電子メール」（52.0％）、「サーバ利用」（50.7％）「社内情報共有・ポータル」（40.3％）、「スケジュール共有」（38.2％）、「給与、財務会計、人事」（31.8％）、「データバックアップ」（29.2％）が上位にある。ファイル保管・データ共有、電子メール等皆が共通に行う業務での利用が進展しており、クラウドサービス導入企業においては多くの従業員がクラウドサービスを利用していることになる。

クラウドサービスを利用している理由

クラウドを利用している理由としては、「資産、保守体制を社内に持つ必要がないから」（41.1％）が最も高く、次いで、「どこでも機器を選ばずに同様のサービスを利用できるから」（33.6％）、「サービスの信頼性や情報漏洩等へのセキュリティが高いから」（31.7％）、「安定運用、可用性が高くなるから（アベイラビリティ）」（29.5％）、「災害時のバックアップとして利用できるから」（26.1％）が上位にある。

クラウドサービス利用により、社内に保守のための人材や資産を持たなくて済むこと、場所の制約が軽減されること、セキュリティを担保できること、安定運用のしやすさ、BCP対策としての有効性等が評価されている。特に、働き方改革の推進や人手不足の解消というニーズの高まりを背景に、クラウド化が加速している。

クラウドセキュリティリスクとその対策

クラウドサービスは利便性が高いが、課題も生じている。企業が許可していないサービスやIT機器を、従業員が勝手に利用する「シャドーIT」や情報の漏洩など、新たなセキュリティリスクの発生である。

このようなクラウド環境特有のリスクに対して、従来のオンプレ環境とは異なったセキュリティ対策が求められている。

企業が取るべき対策としては、1．使用ルールの明確化、モニタリングの強化、従業員教育に加え、2．クラウドセキュリティサービスの導入が挙げられる。

今回、クラウドセキュリティサービスを提供している、NTTコミュニケーションズと日立ソリューションズの担当者に、その取り組み、ユーザー動向等について、話を聞く貴重な機会を得た。そのなかで、クラウドサービス利用時のセキュリティ対策例としてトレンドマイクロ社「Cloud App Security」の利用について聞いてみた。以下では、その主な内容について、紹介する。

NTTコミュニケーションズの取り組み

NTTコミュニケーションズのクラウドセキュリティについては、ネットワークサービス部　オープンネットワークサービス部門　担当課長　秋葉光輝氏、同主査　山本景輔氏に話を聞いた。

クラウド化が進展する中で、セキュリティ対策として「エンドポイント、ゲートウェイ、クラウド等各層での対策が必要である。特にクラウド層については多種多様なアプリが存在し、ユーザー側の対策が取りにくい」（山本氏）とその現状についての言及があった。

リスクについては「クラウド上のデータが抱えるリスクがある。エンドポイントを介さないデータの転送により、自分でも把握できないところにデータが転送され、リスクが増大する。また、『いつでも・どこでも』使えるというクラウドの特性を最大限に活用することは一方で、セキュリティ上の脅威を生み出す要因にもなっている」（山本氏）とのことだった。

同社では、クラウド層のセキュリティ対策として、クラウドデータ保護サービス「Cloud App Security」を提案している。このサービスでは、Office 365、Box、Dropbox、Gmail・GoogleDriveとクラウド上で接続し、標的型メール、クラウドストレージに対するセキュリティを強化することができる。

ユーザー企業に評価されている点については、「1．主要クラウドアプリに同時に対応可能な点、2．スパム、フィッシングに加え、詐称／なりすましなどのビジネスメール詐欺（BEC）にも対応できる点、3．インシデント発生後、他のユーザーにも影響がないか、手動で検索可能な点、4．専門技術者の工事が不要で管理画面の操作だけで簡単に導入できる点、5．API型（サーバー間通信による直接監視）で障害発生時もクラウドアプリ利用には影響がない点」（山本氏）が挙げられた。

ユーザー動向については、「物流事業者のような移動を頻繁に行う従業員が一定数存在する事業者では、従業員がモバイル端末を常に携帯、活用しており、クラウド業務アプリの初利用時にセキュリティ面での不安を持っていることが多い。この課題に対しては、『Cloud App Security』は有効だ。あるメーカーでは、過去のインシデント発生によりセキュリティ対策整備が急務となっており、セキュアインターネットゲートウェイ等自社の他サービスと組み合わせて提案することで、リモートワーカーとグローバル拠点の一元管理も併せて実現できた。クラウドセキュリティサービスの利用は、クラウド化の進展に合わせ、中堅企業から大企業まで、業種を問わず増加している」（山本氏）とのことだが、一方、「中小企業においては、クラウドサービスのセキュリティ対策が不十分な事業者も多い。初歩的な部分から、クラウドを利用することのリスクを理解して頂く必要がある」（秋葉氏）と、クラウドセキュリティリスクに対する認知と啓蒙の必要性も指摘された。

同社はクラウド利用時のセキュリティ運用サポートニーズを見据え、中小企業向けにサイバー保険付きヘルプデスクサービスである、「セキュリティサポートデスク」を提供開始した（2019年7月末から）。

特徴は、1.オンラインコミュニティやセキュリティ専門家により、セキュリティに関するアドバイスを受けることができる。2.東京海上日動火災保険のサイバーリスク保険が利用可能。3.NTTセキュアプラットフォーム研究所が開発したAI技術を活用した高精度な脅威検出技法（特許）を利用した相関分析（複数のセキュリティサービスから潜在的なセキュリティリスクを抽出）の利用が可能という点だ（図2）。「万一の場合に備え、中小企業の方に安心を提供するサービスだ」（秋葉氏）とのことで、通常時はコミュニティ等で実施しているセキュリティに関するよろず相談を、セキュリティインシデント発生時は、セキュリティ専門家から対処方法等のアドバイスを受けることができ、他社に損害を与えてしまった場合は、最大3,000万円まで対応可能なサイバー保険を利用できる等、顧客企業へ様々な安心感を提供するサービスである。

自社の強みについては、「ネットワーク事業者として、顧客企業に安心・安全を提供することを第一に考えている。常に最新の脅威情報を捉え、最適な手段、様々なツールを提案することで、顧客企業を支援していきたい」（秋葉氏）と、ネットワーク事業者としての付加価値サービスとして、セキュリティサービスに注力しているとのことだった。

【図2】「セキュリティサポートデスク」の概要
（出典：NTTコミュニケーションズ　ホームページより）

日立ソリューションズ社へのインタビュー

日立ソリューションズのクラウドセキュリティソリューションについては、セキュリティソリューション本部　セキュリティマーケティング推進部　部長　扇健一氏、グループマネージャ宮崎秀雄氏、セキュリティサービス部　主任技師　高橋昌也氏に話を聞いた。

クラウド化が進展する中でのクラウド利用については、「クラウドの形態として大きくSaaS、IaaS/PaaSの2つに分けられる。いずれもクラウドサービスであるが、分けて捉える必要がある」（宮崎氏）とクラウドセキュリティを捉える上での考え方が提示された。

リスクについては、「なりすまし、情報漏洩等の課題（例えば、クラウドサービス上に保存している各種データの窃取・漏洩）が生じている。利用者資産である①アカウント情報・権限情報、②ユーザーデータ、③通信路・通信データは、オンプレのシステムと同様、利用者責任の範囲である（図3）」（宮崎氏）と利用者の情報は利用者自身で守る必要があるとの認識だった。

【図3】利用者資産とクラウド事業者資産について
（出典：日立ソリューションズ）

リスクへの対策としては「SaaS、IaaS/PaaSに分けて、階層ごとの対応策が必要であり、例えば、SaaS利用においては複数のリスク（ID情報の流出、なりすまし、マルウェアによる攻撃、ファイルの漏洩、未許可クラウド利用による内部不正、不正なWebサイト・クラウドサービスの利用によるマルウェア感染、回線負荷の増大による通信速度の低下等）が存在し、そのリスクに対してそれぞれ対応策がある。例えば、マルウェアによる攻撃に対しては、マルウェア対策（「Trend Micro Cloud App Security」は手段の一つ）が必要となる」（宮崎氏）と、複数のセキュリティリスクとそれに必要な対策を講じる必要性があるとのことだ。

ユーザーからの評価については、「『Trend Micro Cloud App Seurity』については、ご購入前に健康診断サービスの実施をお勧めしている。健康診断サービスは評価ライセンスにて実際に『Trend Micro Cloud App Security』を利用いただき、Office 365をすり抜けてしまったセキュリティリスクの有無/数量/脅威レベルなどを、検知した『Trend Micro Cloud App Security』のログをもとにレポートするサービスである。APIで直接Office 365と連携して実現しているため、既存環境への影響が少なくトライアルしやすい。実際に利用すると、今まで気づいていなかった攻撃の存在に気づき、対策の必要性が明確に理解いただける」（高橋氏）とトライアルが有効な機会となっているとのことだ。

ユーザー動向については、「Office 365導入企業に対して、ビジネスメール詐欺の回避が訴求点になっている」（高橋氏）としたうえで、課題として「クラウド移行はオンプレとクラウドのハイブリッド型が主流となるため、クラウド利用時に必要なセキュリティ商材と、オンプレ利用時に必要なセキュリティ商材の組み合わせなど、提案する商材が多くなるので、ユーザーにとってコストが高くなり負担がかかっている」とクラウド化の移行期に顧客企業に課題が生じているとの言及があった。

自社の強みについては「ニーズが明確でない顧客企業に対しては、どのような対応策が必要なのか、適切にコンサルティングができることだ。我々は複数のツールを捉え、どの手段を使うのが良いのか、提案することができる」（宮崎氏）とセキュリティに対する知見のあるコンサルタントとしてのリスク分析・評価能力が強みとなっているとのことだ。

今後の課題については「5G普及後のセキュリティ対策としてどのようなことが必要になってくるのか、見極めていく必要がある。5Gの普及が後押しする形でIoT化が進展する。IoT機器のセキュリティをどう担保していくのか、今後の課題である。加えて、セキュリティ人材の育成も重要な課題である。セキュリティ人材の必要性が高まっているが、人材育成は短期間では難しい。セキュリティ人材の育成に向けた取り組みを推進していく必要がある」（扇氏）と、5G普及時のセキュリティサービスの在り方、人材育成の必要性が問われることが示された。

まとめ

クラウド化の進展により、勤務場所の制約が軽減され、従業員にとっては、働きやすさが増し、働き続けることが難しかった人にとっても、テレワーク等柔軟な働き方により、継続した就労ができるようになってきている。

一方で、クラウド化の進展に伴うリスクに対して、その現状を理解している人は多くはない。ICT利用の形態の変化に伴い、必要な対策は変わってきており、課題解決を支援する事業者にとっては新たなビジネスチャンスになる一方で、情報を持たない、理解できない層にとっては、重大なセキュリティリスクをそのままにしておくことにもなる。

ICTべンダーや通信事業者等のサービス提供主体や、IPA等行政からの情報提供はますます重要になってきている。

加えて、セキュリティに精通する人材の育成も急務の課題であることが指摘されており、人材を育成する環境整備が求められている。

ICTの利用環境がクラウド化の進展、5Gの開始、IoT機器の増加と、刻々と変化していく中で、これを支援するセキュリティ業界の動向が引き続き注目される。