セキュリティの
学び場

今回の解説ニュース

クラウドサービスのセキュリティ対策について、その傾向が発表されています。今回は、クラウドサービスを使う際に、セキュリティの観点で考えられる、メリットとデメリットについて説明します。

今回の発表は、クラウドサービスにおける最新のセキュリティ対策傾向についてまとめたものです。メール送信元のなりすましを検知するSPFを導入しているサービスは75.2%で、SPF等の結果を活用し認証失敗時のポリシーを定めるDMARCを導入しているサービスは、より少ない44.8%であったということです。

サービスカテゴリ別では、「AI・データ活用」のサービスでは73.2％、「システム開発・運用」では68.1％がDMARCを設定している一方で、「サービス業」23.7％、「会計・財務」30.1％、「人事・採用・労務」35.5％と、カテゴリによって傾向が異なることも判明しました。

DMARC以外では、ネットワークに関するセキュリティ対策について、6％のサービスで関連するデータベースサーバ・ファイルサーバ等がインターネット上で発見できる状態にあることが明らかとなりました。サービスカテゴリ別で見てみると、「金融・保険」はインターネット上に公開すべきではないサーバの存在は0％で、セキュリティ対策が徹底されていることが推測されます。

クラウドサービスの責任共有モデル

セキュリティの観点で、クラウドサービスのメリットとデメリットは、共にクラウド事業者との責任共有モデルにあると考えます。

例えば、家事が分担される際、自分に割り当てられた家事について、みなさんは責任を負うことになります。家事代行サービスを使った場合でも、どんな家事をしてほしいかの具体的な指示や、仕上がりに問題がなかったか確認する責任を負うわけです。

クラウドサービスの責任共有モデルも同様に、クラウド事業者と利用者で責任を分担することを前提としています。

クラウドサービスの責任共有モデルとは、クラウドサービスのセキュリティ対策において、クラウド事業者と利用者の責任範囲を分ける考え方です。一般的なSaaSでは、クラウド事業者がアプリケーションや基盤を管理し、利用者が自分のデータやアクセス権限を管理する責任を負います。

SPFとDMARCについて解説

SPFとDMARC、共にメールのセキュリティ対策です。

SPF

メールの送信元ドメインが詐称されていないかを検査するための仕組みです。送信側では、DNSに送信元ドメインが使用できるメールサーバのIPアドレスを記述し、受信側では、その情報をメールヘッダに記載された送信元ドメインと照合します。

DMARC

電子メールの送信ドメインを認証する技術です。SPFやDKIMという技術を利用して、送信者の正当性を検証し、なりすましメールやスパムメールを防ぐことができます。DMARCの方が設定が複雑であるため、SPFと比較して導入が進んでいないことが考えられます。