コラム クラウドセキュリティサービスとは？主要な種類や選び方のポイントを解説

クラウドセキュリティとは、クラウドコンピューティング環境に保存されているデータや稼働しているアプリケーション、OSを、不正アクセス、情報漏えい、システム侵害といった様々な脅威から守るための一連の対策や技術、サービス全般を指します。

クラウドサービスがビジネスに不可欠なツールとなる一方で、そのセキュリティ対策は企業の信頼性や事業継続性を左右する重要な要素となっています。

デジタルトランスフォーメーション（DX）の推進や働き方改革の流れを受け、多くの企業が業務効率化やコスト削減を目的としてクラウドサービスを導入しています。

2024年の総務省の情報通信白書によると、国内企業の8割以上が何らかの形でクラウドサービスを利用しており、その市場規模は拡大を続けています。

しかし、利用が拡大するにつれて、クラウド環境を標的としたサイバー攻撃や、設定ミスによる情報漏えい事故も増加傾向にあり、クラウドセキュリティの重要性はますます高まっています。

従来のオンプレミス環境では、企業は自社内の物理的なサーバーやネットワーク機器を自分たちで管理し、その境界線を守る「境界型防御」がセキュリティ対策の中心でした。

しかし、インターネット経由でサービスを利用するクラウド環境では、社内外の境界が曖昧になります。そのため、どこからアクセスされても情報を保護できる「ゼロトラスト」の考え方に基づいた、データ中心のセキュリティ対策が求められます。

クラウドサービスは、提供されるサービスの範囲によって主に「SaaS」「PaaS」「IaaS」の3種類に分類されます。

これらの種類によって、セキュリティ対策を誰がどこまで担当するのかという「責任共有モデル」が異なります。

自社が利用するサービスの種類を理解し、どこに責任を持つ必要があるのかを明確にすることが、適切なセキュリティ対策の第一歩です。

SaaS（Software as a Service）は、ソフトウェアをインターネット経由で提供するサービスです。

利用者はアプリケーションの機能のみを利用し、その基盤となるインフラやOSの管理はクラウド事業者が行います。

• 事業者の責任範囲: アプリケーション、OS、サーバー、ネットワークなど、サービス提供基盤全体。
• 利用者の責任範囲: データそのもの、およびIDやアクセス権の管理。誰がデータにアクセスできるかを適切に設定・管理する必要があります。

PaaS（Platform as a Service）は、アプリケーションを開発・実行するためのプラットフォーム（OS、ミドルウェアなど）を提供するサービスです。

利用者は自社で開発したアプリケーションをプラットフォーム上で動かします。

• 事業者の責任範囲: OS、ミドルウェア、サーバー、ネットワークなど、開発環境の基盤。
• 利用者の責任範囲: データ、および自社で開発したアプリケーション。アプリケーションの脆弱性対策は利用者の責任となります。

IaaS（Infrastructure as a Service）は、サーバーやストレージ、ネットワークといったITインフラをインターネット経由で提供するサービスです。

利用者はOSを含め、自由にシステム環境を構築できます。

• 事業者の責任範囲: 物理的なサーバー、ストレージ、ネットワークなどのインフラ部分。
• 利用者の責任範囲: データ、アプリケーション、OS、ミドルウェアまで広範囲にわたります。OSやミドルウェアへのセキュリティパッチの適用など、多くのセキュリティ対策を利用者側で行う必要があります。

クラウドサービスは利便性が高い一方で、特有のセキュリティリスクも存在します。これらのリスクを正しく理解し、事前に対策を講じることが重要です。

クラウドサービスはインターネット経由でアクセスできるため、IDやパスワードが流出すると、権限のない第三者による不正アクセスの標的になりやすいです。

特に、推測されやすいパスワードの使用やパスワードの使い回しは、不正ログインのリスクを著しく高めます。不正アクセスにより、顧客情報や企業の機密情報が外部に漏えいする可能性があります。

クラウドサービスは多機能である反面、設定項目が複雑になりがちです。アクセス権限の誤った設定や、公開範囲の確認漏れといった人的ミスが、意図しない情報公開につながるケースが後を絶ちません。

例えば、「社内限定」で共有するつもりのファイルが「インターネット上の誰でも閲覧可能」な設定になっていた、といった事故は典型的な例です。

悪意がなくとも、従業員の不注意が情報漏えいを引き起こすこともあります。

許可されていない個人所有のデバイスやクラウドサービスを業務に利用してしまう「シャドーIT」は、企業の管理が及ばない領域で情報が扱われるため、重大なセキュリティリスクとなります。

また、機密情報を含むファイルを誤った相手に送信してしまうといったミスも考えられます。

クラウドサービスのサーバーで障害が発生したり、DDoS攻撃のようなサイバー攻撃を受けたりすると、サービスが一時的に利用できなくなる可能性があります。

業務で利用しているサービスが停止した場合、自社の事業活動にも直接的な影響が及ぶリスクがあります。データのバックアップや、障害発生時の復旧計画を事前に立てておくことが重要です。

クラウド環境特有のリスクに対応するため、様々なセキュリティサービスが登場しています。ここでは、代表的な3つのサービスについて解説します。

CASB（Cloud Access Security Broker）は、企業と複数のクラウドサービスの間に単一のコントロールポイントを設け、一元的なセキュリティポリシーを適用するためのサービスです。

「どの従業員が、どのクラウドサービスを、どのように利用しているか」を可視化し、シャドーITの発見や、情報漏えいに繋がりかねない危険な操作の制御を行います。

CWPP（Cloud Workload Protection Platform）は、サーバーや仮想マシン、コンテナといったクラウド上の「ワークロード」を保護することに特化したサービスです。

IaaSやPaaS環境において、ワークロードに潜む脆弱性をスキャンしたり、不正なプログラム（マルウェア）の実行を防いだり、設定の不備を監視したりする機能を提供し、クラウドインフラを安全に保ちます。

CSPM（Cloud Security Posture Management）は、クラウド環境のセキュリティ設定を継続的に監視し、設定ミスやポリシー違反を自動で検出・修正するサービスです。

「Posture」とは「姿勢」を意味し、クラウド環境が常に正しいセキュリティの「姿勢」を保っているかを管理します。複数のクラウドサービスを利用している場合でも、統一された基準で横断的にセキュリティ状態を評価できるのが特徴です。

数あるクラウドセキュリティサービスの中から、自社に最適なものを選ぶためには、いくつかのポイントを押さえる必要があります。

まず、自社がどのようなクラウドサービス（SaaS, PaaS, IaaS）を、どの程度利用しているのかを把握することが重要です。

その上で、「シャドーITを可視化したい」「開発環境の脆弱性を管理したい」「設定ミスによる情報漏えいを防ぎたい」といった、セキュリティ対策の目的を明確にしましょう。目的に応じて、CASB, CWPP, CSPMといった適切なサービスの種類が見えてきます。

導入を検討しているセキュリティサービスが、自社で利用している主要なクラウドサービス（例: Microsoft 365, Google Workspace, AWS, Azure）に対応しているかを確認することは必須です。

また、将来的に導入を予定しているサービスへの対応状況も確認しておくと、長期的な視点で有効な投資となります。

信頼できるサービスを選ぶための客観的な指標として、第三者機関によるセキュリティ認証の取得状況を確認することも有効です。

特に「ISMSクラウドセキュリティ認証（ISO/IEC 27017）」は、クラウドサービスに関する情報セキュリティ管理策の国際規格であり、この認証を取得している事業者は、信頼性の高いセキュリティ体制を構築していると判断できます。

クラウドサービスは現代のビジネスにおいて不可欠なツールですが、その利便性を最大限に活用するためには、適切なセキュリティ対策が前提となります。

本記事で解説したように、まずは自社が利用するサービスの種類と責任範囲を理解し、クラウド特有のリスクを把握することが重要です。

その上で、CASBやCWPP、CSPMといったセキュリティサービスを活用し、アクセス制御の強化や脆弱性の管理、ポリシー違反検出といった基本的な対策を徹底することで、安全で生産性の高いクラウド環境を構築することができます。

KDDIでは様々なセキュリティリスクに備えるサービスを提供しています。検討から導入、運用・保守までをワンストップで支援します。ぜひご相談ください。