オンラインストレージのセキュリティはどうなってるの?|セキュリティの課題・対策などを徹底解説

セキュリティのイメージ

更新日:2019年01月15日 | 公開日:2019年01月15日

ビジネスにおいて欠かせない存在となってきたオンラインストレージですが、気になるセキュリティ対策は、どのようになっているのでしょうか?今回は、オンラインストレージが持つセキュリティの課題と対策について徹底解説します。

1.オンラインストレージの仕組みとは?

1.オンラインストレージの仕組みとは?

オンラインストレージとは、インターネット上に用意されたファイル保管庫(ストレージ)、または保管を含めたサービス全体のことを指します。まずは、オンラインストレージの仕組みを説明していきましょう。

1-1.オンラインストレージの目的

オンラインストレージを利用する目的は、自社サーバーを設置する目的と同じで、次の3つが考えられます。

オンラインストレージを利用する目的
  • データ保存容量の確保
  • データ転送・共有による業務の効率化
  • セキュリティの確保

オンラインストレージは、サービス提供会社が大きなストレージを用意し、利用者に対して利用できる領域を提供する仕組みとなっています。

自社サーバーは、LANケーブルなどを経由して接続しますが、オンラインストレージはインターネット回線を通して、サービス提供会社のサーバーに接続します。この仕組みでは、他の利用者のフォルダなどは見えず、ほかの利用者からこちらのフォルダも見えません。

また、オンラインストレージは外部にデータを移すため、そのデータに関してのセキュリティ対策がユーザーにとっては気になるところです。そのため、サービス提供会社は非常に強固なセキュリティシステムを構築し、万全な対策を講じています。自社サーバーでは、コストをかけてセキュリティ対策する必要がありますが、オンラインストレージに登録することで、その手間やコストの心配もありません。

1-2.データの保存先

オンラインストレージのデータの保存先は、サービス提供会社が管理するデータセンターに置かれた、大容量の外部記憶装置(主としてハードディスク)になります。海外のオンラインストレージの場合は海外に、国内のオンラインストレージの場合は国内にあるのが一般的です。

少し前まで、データ保存先は自社サーバーがほとんどでした。それがクラウド、そしてオンラインストレージが定着するに伴い、区別するために自社サーバー運用タイプをオンプレミスという言葉で表現するようになりました。オンプレミスの「プレミス」とは、英語で「構内」「店内」という意味で、オンプレミス型は情報システムの設備を自社保有して運用することです。つまり、クラウド型とオンプレミス型は対義語となるのです。

オンラインストレージのなかには、専用回線が持てるオンプレミス的なプランがあるところや、オンプレミスそのものを請け負うところもあります。

1-3.データの管理者

オンラインストレージに保管されたデータは、オンプレミスの場合と同じようにユーザー側が管理します。会社の管理担当者、あるいはセクションが、ファイル、フォルダ、ストレージそのものへのアクセス制限やアカウント管理、セキュリティも含めたさまざまな機能などの各種設定・管理を行います。

しかし、ITに精通した人がいない場合は、オンラインストレージ側のサポート体制が重要になってくるでしょう。また、セキュリティ面では、不正アクセスなどに対して、定期巡回しているオンラインストレージもあります。データを守る管理者は、サービス提供会社と十分なコミュニケーションが取れるプラン選び、情報漏えい対策や機密文書保持など、万全なデータ管理を行うことが大切です。

2.オンラインストレージにはどんな危険性があるの?

2.オンラインストレージにはどんな危険性があるの?

強固なセキュリティ対策が行われているオンラインストレージとはいえ、リスクがゼロというわけではありません。次に、危険性について説明していきます。

2-1.サーバーダウンによるデータ消失のリスク

オンラインストレージのサーバーでも、ダウンする可能性はあります。必要なファイルにアクセスできないことに留まらず、データの消失という最悪の事態も絶対にないとは言えません。

データ障害の原因の多くは、人為的ミスによるものであり、オンラインストレージを利用する上では、リスクを考慮しておくことはとても大切です。対策としては、データのバックアップを行うことが推奨されています。簡単な方法は、別のオンラインストレージに重要なファイルを同時に保存する、自社で外付けのHDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ/フラッシュメモリ使用の記憶装置)にバックアップを取るのがいいでしょう。

ただ、どちらの方法もコスト面では負担が増えることになり、またサーバーダウンやデータ消失の可能性がゼロになるわけではありません。なお、オンラインストレージのなかには、バックアップやデータ復元機能を備えているところもあるので、よく調べて選びましょう。

2-2.サイバー攻撃によるリスク

近年、個人・企業を問わず、国家さえもターゲットとなり被害を受けているサイバー攻撃。オンラインストレージでも、ターゲットとなり情報が流出する可能性は十分に考えられます。しかしながら、現在残念なことにターゲット型サイバー攻撃を完全に回避する手段はありません。

ユーザー側でできるサイバー攻撃に対する対策は、複雑なアカウントやパスワードを設定することぐらいしかありません。そのため、サイバー攻撃に対するセキュリティは、基本的にサービスを提供している会社側に依存することになります。

サイバー攻撃による被害は、軽微なものから甚大なものまでさまざまですが、よく起こるケースとしては、ユーザーアカウントの流出があります。アカウント内部のデータには被害がなく、ユーザーアカウントのみの流出ですが、攻撃者は入手したユーザーアカウントをパスワード解析ソフトにかけ、アカウントとパスワードを一致させようとします。簡単なパスワードを使用していると、すぐにパスワードが解析され、アカウント内部へ侵入されてしまうことになるので要注意です。

2-3.サーバー停止・押収によるリスク

欧米ではテロ対策のために、捜査機関が企業の機密情報へ無断でアクセスできる法律とシステムが構築されているようです。また、場合によってはサービスの停止指示や、サーバー押収の可能性もあり、実際の事例もいくつか報告されてきています。

もしも、利用しているオンラインストレージで、サービスの停止命令や、サーバー押収のような事態が起きれば、アカウントへアクセスできなくなったり、データの消失といったリスクは十分に想定できます。意外と知られていない事実ではありますが、オンラインストレージを利用するにあたって、セキュリティ意識をしっかりと持つ必要があります。

ただ、日本では経済産業省が発行するクラウドセキュリティガイドラインにより、サービス停止や押収のリスクが欧米よりも大幅に軽減されています。そのため、日本国産のオンラインストレージの方が、リスクを軽減できると言えるでしょう。

3.会社ができる対策は?

3.会社ができる対策は?

セキュリティリスクを最低限にするには、何よりもセキュリティに優れたオンラインストレージを選ぶことが肝心です。また、利用者側でも行える対策があります。

次に、オンラインストレージの選定ポイントと、利用者側にできる対策について説明します。

3-1.データセンターのセキュリティに問題はないか?

セキュリティを考えるならば、機能やサービスだけでなく、データセンターのセキュリティも確認しましょう。日本国内にあるデータセンターは、海外に比べて安全といえます。その理由としては「治安がいい」「政情不安のリスクが少ない」「電力・通信インフラの品質が高い」「優秀な運用管理者がいる」などが挙げられます。

また、データセンターそのもののセキュリティも気になるところです。監視カメラと連携した入退管理システム、なかには手荷物検査や携帯電話の持ち込み禁止、ボディスキャンを実施しているところもあります。あるセンターでは、電子監視システムやアクセスコントロールシステムを利用し、データセンターには訓練されたセキュリティ担当者が24時間、年中無休で配備され、厳格に管理を行っています。重要な情報を守るためには、データセンターの厳格なセキュリティ対策を確認することも必須要素と言えます。

3-2.セキュリティ機能は充実しているか?

オンラインストレージそのものに、セキュリティ機能が備わっていることも確認しておきましょう。アクセス権限、データの暗号化、ウイルス対策をはじめ、セキュリティ向上に寄与する機能は数々あります。

実際に、オンラインストレージのセキュリティに関する機能は次のようなものがあります。

オンラインストレージのセキュリティに関する機能
  • アンチウイルス機能
  • ファイル無害化機能
  • ファイル暗号化(AES-256ビット)
  • 操作ログ管理機能
  • Cookieによるクライアント認証機能
  • 手動ユーザーロック機能
  • 認証失敗時自動ユーザーロック機能
  • パスワードリマインダー機能
  • パスワード再発行機能
  • ユーザー単位IPアドレス制限機能
  • 長期間未使用ユーザー自動処理設定機能
  • ファイル転送先制限機能(ホワイト/ブラックリスト)
  • SSL暗号化通信
  • 電子証明書によるクライアント認証
  • PDF透かし機能
  • ファイル共有の監査機能
  • 個人情報保護機能

詳しい内容までわからなくても、上記の機能がセキュリティに関連していると理解しておくだけでもメリットとなるはずです。また、不測の事態が起こった時に運営会社が迅速な対応がとれるかどうかも、セキュリティ機能の一部としてきちんと確認しておきましょう。

3-3.第三者機関による評価も参考に

オンラインストレージの評価基準として、第三者機関からの評価を参考にするのもひとつの手段です。

そのうちの一つに「ISO/IEC 27001」という情報セキュリティマネジメントシステム(ISMS)に関する国際規格があります。この認証の取得は、セキュリティ対策が強固であるかの判断材料となります。ほかにも財団法人マルチメディア振興センターが認定している「ASP・SaaS安全・信頼性に係る情報開示認定制度」や、一般社団法人クラウドサービス推進機構が厳正に審査認定を行なっている「CSPAクラウドサービス認定」があります。導入候補になっているオンラインストレージがどの認定を受けているのか確認してみてください。

また、そのオンラインストレージがPCI Security Standards Councilによって認定されたASV(Approved Scanning Vendor)によるスキャンを、定期的に実施しているかどうかも、安全性を維持しているかのポイントになります。

3-4.会社ができる対策は?

利用者側でのセキュリティ対策もとても重要です。最も大切な対策として、関係者の意識改革が挙げられます。例えば、厳重な対策をしたが、利便性を優先するあまり、パスワードの設定や管理が雑におろそかになってしまった。個人的なデバイスなどにデータ保存してしまい、そこから情報流出してしまったなどの危険性も常に考えておくべきです。

また、ビジネスの立ち上げ時には熱心に取り組むが、その後のアカウント管理など、セキュリティを意識したシステム運用にまで手が回らないことも少なくありません。その結果、セキュリティ機能を備えているオンラインストレージにもかかわらず、不安定な状態でシステムを稼働させてしまう可能性もあります。

加えて、契約するオンラインストレージの規約は、よく読むことが大切です。特に、海外のオンラインストレージでは「場合によっては保存情報を自由に使う」などの旨が記載されている場合もあるので、よくチェックしておきましょう。

4.セキュリティが万全なオンラインストレージをご紹介

それでは実際に、セキュリティ性の高さから選んだおすすめのオンラインストレージを紹介します。

4-1.Box

box トップページ

Boxの公式サイトはこちら

Boxは世界最大シェアを誇る法人向けオンラインストレージサービスです。ファイル共有がしやすい、容量無制限、シンプルで使いやすいコラボレーションツールなど、魅力的な特徴のなかでも最もおすすめできる理由は、万全なセキュリティ対策が備わっているからです。

豊富なアクセス制限機能、ユーザーの履歴を追えるログ監視機能などはもちろん、管理者による特定のフォルダへのアクセス権限の設定は、グループ単位、ユーザー単位で設定可能です。さらに、各ユーザーには所有者、編集、削除、リンクを取得、プレビュー、ダウンロード、アップロードと7種類の細かいアクセス制限も簡単に設定できます。管理者は誰にどんな権限を与えるかを自由に選択でき、ユーザーごとに与える権限を変更できるため、社員の入社や異動また退職などにも迅速に対応できます。

ほかにも、規制が極めて厳しい業界基準で作られたツールの提供や、9ヵ国のデータ保護要件への対応など、グローバルなコンプライアンスやプライバシー要件を満たしています。高セキュリティ性のほかにも、容量無制限という点は企業にとって見逃せない魅力です。

4-2.Smooth File 6(スムースファイル)

Smooth File 6 トップページ

Smooth File 6の公式サイトはこちら

Smooth File 6は、企業間・拠点間・海外でのセキュアな「大容量ファイル転送」と「ファイル共有」を実現できる、プロット社が提供する国産のソリューションです。

形態にはアプライアンス、仮想アプライアンス、クラウドと3タイプあり、すべてユーザー数は無制限で、日本語、英語、中国語、韓国語の4ヵ国語対応(一部未対応)となっています。この3タイプのうちのクラウドが、オンラインストレージのSmooth File 6にあたります。

最大の特徴はセキュリティ性で、SSL暗号化通信・ウイルスチェックをはじめ、ユーザーごと、グループごとの柔軟で詳細な権限・制限設定機能、詳細なログ機能を搭載。そのほかにも上長承認機能やファイル無害化機能など企業が必要とするセキュリティ機能を網羅し、オプションでもさらにセキュリティ対策機能が用意されています。プランは、容量別に8プランあり、すべてユーザー数は無制限です。

4-3.Fleekdrive(フリークドライブ)

Fleekdrive トップページ

Fleekdriveの公式サイトはこちら

Fleekdriveは、ビジネス利用を前提に開発された企業向け国産オンラインストレージで、世界190カ国で利用されています。

インフラレベルでもアプリケーションレベルにおいても、一般向けのオンラインストレージとは一線を画す高セキュリティが大きな特徴となっています。具体的には、ファイルの暗号化、ウイルスチェック、高度なIPアドレス制限、シャドーITのリスクを軽減するサブドメイン運用などのセキュリティ機能は標準搭載されています。

また、コピー&ペーストや印刷禁止などのPDFセキュリティ、アップロードと同時にコピーされ、国内2箇所のデータセンターの3つ以上のハードディスクに保管されるバックアップ機能などが施されています。セキュリティ以外にも、チャットで議論しながらファイル共同編集できる機能も特徴です。

4-4.セキュアSAMBA(セキュアサンバ)

セキュアSAMBA トップページ

セキュアSAMBAの公式サイトはこちら

ビジネスユースに特化したオンラインストレージであるセキュアSAMBAは、社内サーバーと同様のドラッグ&ドロップで簡単にデータ共有でき、すべてのデータ管理をブラウザで行える操作性の高さを持っています。

ほかのビジネスユースに特化したオンラインストレージと同じように、特徴としてセキュリティの高さが挙げられます。きめ細やかなアクセス制限が設定可能で、アクセス経路はすべてSSL暗号化。データセンターにAmazonWebService(アマゾンウエブサービス)を採用し、専門のセキュリティ担当者が24時間体制で監視しているため、デバイスや共有範囲を問わず重要なファイルを安心して送受信・保管できます。

プランは20GB、100GB、500GB、1TBという基本4プランに加え、最大160TBまで拡張できるファイル容量も大きな魅力です。さらに、誤って削除してしまったファイル・フォルダを復元することも可能で、最大7世代までバックアップできる定期的なバックアップサービス(有料)も好評です。

5.まとめ

現在、オンラインストレージ抜きでのビジネスは、考えられない時代になってきました。

しかし、サーバーダウンやサイバー攻撃など、オンラインストレージという外部にデータを移すことのリスクは存在します。さらに、内部的にも社員など関係者の人為的ミスの根絶も厳しく、オンラインストレージ利用におけるセキュリティリスクを無くすことは極めて難しいでしょう。

そのため、最善のセキュリティ対策として、セキュリティに優れたオンラインストレージを選ぶことは重要です。セキュリティ機能は当然ですが、オンラインストレージのデータセンターのセキュリティや、オンラインストレージに対する第三者機関の評価、非常時の対応など、多角的に精査して選びましょう。そして自らも、データ規約をチェックし、関係者のセキュリティ意識を高め、パスワード、アクセスログ、アカウント、IPアドレスなどの管理機能を常に活用していくことが、セキュリティリスクの軽減につながります。

オンラインストレージに備わっているセキュリティ機能は、現場の管理体制や危険性に対する高い意識があってこそ、はじめて効果が発揮されるのです。

コンシェルジュ
条件に合ったオンラインストレージ会社を紹介!