`クラウドセキュリティー
 
ダイレクトクラウドのクラウドセキュリティへの取り組みを紹介します。
具体的にはお客様がDirectCloud-BOXを安心してご利用いただけるよう、クラウドサービスを利用する際の考慮すべき点と弊社のサービス提供におけるセキュリティへの取り組みをご紹介します。

クラウドセキュリティとは

企業や組織において、社内の情報資産をクラウドサービスに預ける、といった利用が進んでいます。
クラウドサービスを利用する際に特に注意すべき点は、以下の3点となります。

・インターネット回線を利用するということ
・サービスの提供者が管理するデータセンターまたはサーバーにデータを保管すること
・クラウドサービス事業者側に運用やデータ管理を依存すること

利用者にとって情報システムの保守、運用、管理に関する負担が軽減されるなどのメリットがある一方、情報セキュリティ対策をサービス事業者に大きく依存することになります。
そのため、お客様がクラウドサービスを利用する際には、事業者が情報セキュリティ対策を適切に行っているかどうかを確認した上での選定が必要となります。

クラウドストレージ導入時における企業の最優先事項は「セキュリティ」

クラウドストレージを選定する際に重視した項目を調査したところ、1番重視した点は「価格(26%)」、2番目が「セキュリティ(21%)」、3番目が「容量(8%)」。次いで、管理コスト(7%)、機能(6%) 、速度(4%)の順となっています。
「価格」がサービスや機能に直接関係するものではないことを考慮すると、「セキュリティ」はクラウドストレージ導入時における最優先事項と言えます。

※自社調べ 2017年8月時点 データ抽出期間:2016年10月~2017年8月までの実績

 
 

クラウドサービスを利用する際に考慮すべき点

以下は、DirectCloud-BOXの利用を検討している企業が特に気をつけていただきたいポイントをまとめたものです。
1.SSLによる通信経路の暗号化

SSLサーバー証明書により、通信データを暗号化することの必要性について説明します。クラウドでは、クラウド事業者のデータセンターにデータが保管されるため、通常はインターネットを経由してサービスを利用することになります。 インターネットを経由することで、通信経路上での盗聴や改ざんなどのリスクが発生します。公開情報でもない限り、必ず通信データを SSL によって暗号化する必要があります。

2.厳格なアクセス制御

クラウドではインターネットの利用が前提となるため、不正アクセスやなりすましによるデータの閲覧や改ざん、情報漏洩のリスクが存在しています。
対策として、まずデータの重要度を定義し、アクセスするユーザーがどのデータに対してどのような操作(閲覧、変更、削除など)が可能となるかを権限設定にて行うことが重要となります。 たとえば強固なユーザー認証として、ワンタイムパスワードやデバイス認証が有効です。 IDやパスワードを利用する場合でも、類推されやすいパスワードは禁止し、定期的に変更させるといった設定が重要となります。

3.セキュアなアプリケーション構築

インターネットを経由したアプリケーションや OS の脆弱性を狙った攻撃により、情報漏洩や改ざんの発生リスクがあります。 最近では、SQLインジェクション攻撃、クロスサイトスクリプティングやアプリケーション/OSの脆弱性を狙った攻撃が主流となっています。
攻撃を受けた場合の影響を軽減させるために、定期的な外部からの診断テスト、開発したプログラムのコードレビューを行うことが重要です。 また、攻撃を検知したり、被害の発生をすぐに検知するために、リバースプロキシ型のWeb Application Firewallの導入、マルウェアスキャン、改ざん検知などが効果的な対策となります。

4.データ暗号化及びバックアップ

海外のデータセンターを利用する場合、政府機関によりデータに対して検閲が入る可能性があります。 例えば米国の場合、米国愛国者法(USA PATRIOT Act)により、米国内に存在するサーバーであればあらゆるデータに対して、米連邦捜査局(FBI)または政府が調査権限を持っています。 実際、FBIがデータセンターからサーバーを押収したという事例が発生しています。 可能であれば、データ自体に暗号化を行う、秘密分散などの技術を採用するなどの対策が必要となります。 また、可用性の観点からデータのバックアップを定期的に実施することが推奨されています。

5.適切なクラウド事業者の選定

クラウドを導入することは、自社で行う業務の一部をアウトソーシングするという意味になります。 アウトソーシング先の企業を選定することは発注者側の責任であり、非常に重要なことです。 昨今のクラウドサービスの進化や多様化を鑑みると、この適切なクラウド事業者を選定することは、非常に困難で時間のかかる業務といえます。 またクラウド事業者の経営状況によっては、途中でサービスポリシーの変更、サービス自体を終了といった可能性もあります。 自社のセキュリティポリシーに合致しているかどうかを、サービス仕様書や契約書、及びクラウド事業者へのヒアリングなどを通じて確認することが必要です。

 
 

DirectCloud-BOXのサービス提供範囲

DirectCloud-BOXの場合、ログインID管理、パスワードポリシー、ファイルやデータに対するアクセス権限設定に関しては、お客様のセキュリティポリシーに沿って運用できるように設計されています。
また、アプリケーションからサービス運用までの領域はクラウドサービス提供者である株式会社ダイレクトクラウドの運用・責任範囲となります。

DirectCloud-BOXの安全・安心なクラウドサービスシステム
サービス提供範囲 セキュリティ対策例
データ、ファイル アクセス制御、ウイルス対策、データ暗号化
アプリケーション セキュアプログラミング、WAF、脆弱性診断
ミドルウェア 脆弱性パッチ、権限設定
OS 脆弱性パッチ、権限設定
ネットワーク・ハードウェア 物理セキュリティ、VPC、IDS、アクセス制御
サービス運用 物理セキュリティ、運用手順
※上記、ハードウェア・ネットワーク、サービス運用の領域はAWS(Amazon Web Service)のサービスに依存しています。
 
 
 
 
 
 
主要チェックリスト ダイレクトクラウドの対応状況
データ消失及び情報漏洩対策
障害によるデータ消失のリスク クラウドサービスに障害が発生した場合、クラウドのみにデータを預けていると、大切なデータの復旧ができなくなるリスクがあります。 3拠点にデータ保存。過去3年間データ消失ゼロ
データが外部に漏洩するリスク クラウドサービス事業者へのサイバー攻撃やその他の要因で、預けているデータが外部に漏洩する可能性があります。 VPC、WAF、IDS、ウイルス対策
アカウントが第三者に悪用されるリスク ウイルス感染などによって、利用しているクラウドサービスのユーザーIDやパスワードが流出した場合、第三者による不正アクセスにより、クラウドサービス上に保管している情報が漏洩する可能性あります。 同時ログイン禁止、ログイン通知、パスワードポリシーによる厳格なパスワード管理をサポート
物理セキュリティ
サーバーの設置と管理 不正侵入に対する防御。 AWS東京リージョンを利用
機器障害への対策 停電時の対策や機器に障害が発生した場合の対策。 サーバー冗長化、DR対策
情報管理担当者の情報セキュリティ対策
ソフトウェアの更新 ソフトウェア開発元の脆弱性に関するサポート情報や更新プログラムを注視し、情報管理担当者はソフトウェアを常に最新にする対応を行う必要があります。 定期的に更新
ウイルス対策 個人のパソコンに対するウイルス対策。組織内のネットワークを介して、ファイルサーバーやWebサーバーに感染するタイプのウイルスが急増中。
DirectCloud-BOXを介して転送されるファイルに対し、自動的にウィルススキャンを行います。
Cyren社のInternet Securityを採用
ネットワーク保護 第三者による不正アクセスから企業のネットワークを安全に守るためには、ファイアウォールや侵入検知システム(IDS)の導入は欠くことができません。 AWS VPCおよびAIDEを採用
不正アクセス対策 総当たり攻撃や情報を盗むウイルスを使った不正ログイン、SQLインジェクションまたはクロスサイトスクリプティング、セッションハイジャックのような脆弱性を突いた不正アクセスへの対策。 AWS WAFを採用
情報セキュリティポリシーの導入と運用 企業・組織における情報セキュリティの運用・管理するための仕組みとしてISMSに沿ったサービスの運用体制。 ISMS取得済み
ログの適切な取得と保管 組織内部から情報漏洩等の事故が発生してしまった場合、被害状況や影響範囲の調査などの事後対応を効果的に行うため、ログ取得と保管が重要。 業界最多83種類のログ取得
社員の不正による被害と対策 データの持ち出しなどの不正行為を防ぐためには、ノートPCやスマートフォンから不正にアクセスできないように環境を設定したり、 上長の許可なく社内のデータを外部に持ち出すことができない環境を作る必要があります。 デバイス認証、上長承認をサポート
Web脆弱性対策 Webアプリケーションが使われている場合には、Webサーバー経由でのデータベース接続を利用した攻撃方法「SQLインジェクション」への対策が必要。 AWS WAFを採用
セキュリティ診断 セキュリティ診断によって、WebアプリケーションのSQLインジェクションの脆弱性や、セッションハイジャックの脆弱性の有無などを診断することで、設置したサーバーのセキュリティ強度が確認できます。 年に4回の脆弱性診断を実施
バックアップ 企業の情報資産に対する可用性を維持するためには、保有している情報に対する適切なバックアップが必要。 AWS S3利用により3拠点へ自動バックアップ
ユーザー権限とユーザー認証の管理 個々の社員や部署ごとに適切なアクセス権限を設定し管理する必要があります。 業務シーンに応じて組織や社員ごとにアクセス権設定可能
社員の情報セキュリティ対策
安全なパスワード管理 他人に推測されにくく、機械的な処理で割り出しにくい安全なパスワードの作成および管理が必要となります。 高機能なパスワードポリシー機能を標準提供
外出先から業務用端末利用時の対策 外部にノートPCなどを持ち出した場合、紛失や盗難、自宅や外出先からの接続によるウイルス感染の危険性があります。これらのリスクを軽減するため業務用端末の情報セキュリティ対策が必要です。 アカウントロック、IPアドレス制限、デバイス認証を標準提供、また二要素認証も提供
 
 

クラウド提供事業者として当社が取得している公的認証

株式会社ダイレクトクラウドは、お客様からの情報セキュリティ統制に関する高い水準の要求にお応えできるよう、プライバシーマーク(Pマーク) 及び情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC 27001(JIS Q 27001)の認証を取得しております。
今後も情報セキュリティマネジメントシステムの構築・維持を継続的に取組んでまいります。
ISMS認証取得組織名称 株式会社ダイレクトクラウド
住所 105-0021 東京都港区東新橋2-12-1 PMO東新橋 7階
認証規格 ISO/IEC 27001(JIS Q 27001)
認証登録番号 JP17/080476
認証登録範囲 システムの開発
クラウドサービスの提供
パッケージソフトの提供
審査機関 SGSジャパン株式会社
認証機関 情報マネジメントシステム認定センター(ISMS-AC)
有効期間 2018年10月22日~2020年10月30日
プライバシーマーク取得組織名称 株式会社ダイレクトクラウド
住所 105-0021 東京都港区東新橋2-12-1 PMO東新橋 7階
認証規格 JIS Q 15001:2017
プライバシーマーク登録番号 第17002876号
審査機関 一般社団法人日本情報システムユーザー協会(JUAS)
認証機関 一般財団法人日本情報経済社会推進協会(JIPDEC)
有効期間 2016年12月7日~2018年12月6日
 
 
 
 
 
 

資料ダウンロード

ダイレクトクラウドのセキュリティ対策やDirectCloud-BOXでご利用いただけるセキュリティ関連の機能やサービスについて、ご案内しています。 クラウドストレージサービスの選定時にぜひご活用ください。
ダイレクトクラウドは、ISMS並びにPマークを取得し、情報セキュリティへの取組みを行っております。
仕事の段取りが変わる!生産性の向上を実現できるオンラインストレージ活用法
ファイルの受け渡しだけじゃない、ワークスペース共有で共同作業の効率が向上
 
 
  • サービスに関するお問い合わせ
  • 資料請求のご依頼
  • 電話
  • イベント・セミナー情報
 
 
 
 
株式会社ダイレクトクラウド Copyright © DirectCloud, Inc. All Rights Reserved.