2021/04/12
近年、高額なコストがかかることの多かったオンプレミスの顧客管理システムから、比較的コストを抑えて運用できるクラウド型のシステムへ移行する企業が増えています。
クラウド型のシステムは、コストを抑えることができるだけでなく、保守メンテナンスの手間が省ける、拡張性が高い、連携機能の拡充が簡単に行えるなどメリットが多く、この移行の流れはさらに加速するでしょう。
しかし、クラウド型のシステムは、顧客情報はデータセンターで管理し、インターネットを通じてアクセスするため、セキュリティ面のリスクがゼロだとはいえません。第三者による不正アクセスやデータ損失のリスクを防止するため、適切なセキュリティ対策が必要です。
本コラムでは、クラウドを利用した顧客情報管理で必要なセキュリティ対策について解説していきます。
顧客管理に適切なセキュリティ対策が実装されていないと…?
冒頭でもご説明した通り、クラウド型システムはさまざまなメリットがありますが、適切なセキュリティ対策のもと、運用していく必要があります。
ここでは、万全なセキュリティ対策がとられていない場合に起こり得る、3つのリスクについて解説します。
不正アクセス・ログイン
クラウド型の顧客管理システムは、PCやスマートフォンといった複数端末からいつでもアクセスできるというメリットがあります。これは言い換えると、社外の第三者もアクセスできてしまうということです。悪意のある第三者がウィルスやマルウェアを用いてシステムの脆弱性を攻撃し、不正にアクセス・ログインする懸念があります。
クラウドサービスを提供する会社は、そのような不正を防ぐためにさまざまなセキュリティ対策を設けていますが、セキュリティプログラムが長期間更新されないでいると、プログラムの穴を見つけられて脆弱性をつかれることもあります。したがって、プログラムの更新・アップデートが少ないクラウドサービスは導入を控えた方がいいでしょう。
データ損失の恐れ
クラウドサービスは基本的にはサービスベンダーがサーバーの管理やシステムのメンテナンスを行いますが、サービスベンダー側で障害や不具合が発生すると、保存していたデータが損失したり、サービスの利用が停止したりする可能性があります。トラブルが一時的なものであればシステム復旧後は元通りになりますが、一度損失してしまったデータは復元が極めて困難です。
そのような場合に備えて、データは定期的にバックアップを取っておくのが有効です。また、システム障害のほかにも従業員のミスによってデータを消してしまうこともあるので、導入前にバックアップ体制をしっかり確認しましょう。
ログイン情報の流出
ログイン情報が悪意のある第三者に流出すると、不正に得たログインIDやパスワードを用いてネットワーク内部に入り込み、システムやサーバーが内部から攻撃を受けることになります。それによって取引先から預かった機密情報や個人情報、クレジットカード情報を漏えいさせてしまった場合は、取引先や顧客から損害賠償請求を受けて大きな損失を受けることにもなりかねません。
システム管理者はセキュリティ対策を絶えず意識して、ログイン情報が流出しないように心掛ける必要があります。
セキュリティ対策で大事な3つの視点
セキュリティ対策では、機密性、完全性、可用性の3つの視点が大切です。以下にそれぞれについて解説します。
機密性
情報の閲覧をアクセスが許された人だけに限定することを機密性と呼びます。アクセス権のレベルを閲覧も書き込みも禁止する、閲覧は許可するが書き込みは禁止する、閲覧も書き込みも許可するというように段階的に設定できるシステムがいいでしょう。
何を機密性の高い情報とすべきかは企業によって異なりますが、メーカーやサービスベンダーなら新商品や新サービスの情報、小売店なら顧客の名前、住所、電話番号などの顧客情報が対象です。
また、顧客の個人情報は、どの企業にもあてはまる機密性の高い情報です。機密性の高い情報へのアクセス権は、社内でも範囲を限定して人数を抑えることができれば、情報漏えいや悪用のリスクを減らすことができます。
完全性
サイバー攻撃は標的とする企業の経営を攪乱したり、社会的信用の失墜を狙ったりするもので、データの管理ミスを引き起こして企業の信頼性を揺るがすことが目的です。これに対処できるように、システムに保存されている情報が不正に書き換えられたり、破壊されたりすることがない状態を完全性と呼びます。
また、火災、地震などの天災よってシステムが破損し、データが失われて企業の継続性が脅かされるリスクも忘れてはなりません。重要なデータは堅牢なバックアップシステムを構築し、データを暗号化したうえで保管・利用してくれるシステムを選ぶようにしましょう。
可用性
システムにアクセスすることが許されている人が、必要な時にいつでも情報や関連データを利用できる状態を保つことを可用性と言います。可用性が保たれているということは、情報を提供するシステムが常に正常に動作しているということを意味します。
可用性を高めるためにはデータのバックアップや、回線の二重化が有用です。いずれの場合もシステムがダウンしたり、大規模な災害が起こったりした時に素早く復旧してデータがすぐに利用できる体制が整っているシステムを選ぶべきでしょう。具体的な例で言えば、東京本社のシステムがダウンしても大阪支社のシステムで代用運用できる体制になっていれば可用性が確保されていると言えます。
クラウド型システムにおけるセキュリティ対策のポイント
ここでは、クラウドシステムにおけるセキュリティ対策のポイントとして、ID・パスワード認証、退職者のアカウント処理、通信データの暗号化について詳しく解説します。
ID・パスワード認証
クラウド型の顧客管理システムでは、ログインIDとパスワード認証によって、ログインしようとする人が正式な利用者であることを確認するのが一般的です。このようなログイン情報は外部に漏れていなくても、解読されて侵入を許してしまう可能性があります。代表的な手口はブルートフォースアタックという、パスワードを無差別に入力して解析する手法です。
不正な侵入を防ぐには、パスワードの連続入力回数を制限するか、ワンタイムパスワードを設定する対策が考えられます。パスワードの連続入力回数の制限は、一定回数以上無効なパスワードを入力したらアクセスができないようにする方法です。ワンタイムパスワードは、ログインの際にランダムに生成されるパスワードを入力するものです。
また、生年月日や自宅の電話番号など類推されやすい数字や文字の組み合わせを使わない、同じパスワードを使い回さないといった基本的なことも気を付けたい点です。
退職者のアカウント処理
クラウド型の顧客システムを利用している企業では、退職時にアカウントを停止させる手続きが必要です。退職者のアカウントが残っていると、退職後も自宅のPCやスマートフォンからログインできてしまい、セキュリティ面でのリスクになります。経済産業省が2013年3月に実施した調査によると、企業秘密の漏えいがあった企業では退職者による流出が約50%と最も多くなっています。
退職者に悪意がなかったとしても、第三者によって情報が漏えいする危険性があることは否定できません。システムによっては退職した日にアカウントが自動的に削除されるものや、引き継ぎのためにログインが必要な場合でも手動でログインの権限を変更できるものもあります。ログイン情報処理については、自社の運用に合ったシステムを導入して対策しておきましょう。
通信データの暗号化
クラウド環境では、クラウド事業者のデータセンターに保管されているデータに対してインターネット経由でアクセスするため、通信経路上で第三者による不正アクセスや盗聴などによって情報が漏えいしたり、データが改ざんされたりするリスクが存在します。
そのため、企業として何が重要なデータなのかを分類し、その重要度に応じて管理体制を分けることが重要です。そのうえで非公開の情報は、通信データをSSL(Secure Sockets Layer)によって暗号化する必要があります。
また、プライベートクラウドのような専用線やインターネット上の仮想の専用線、あるいはVPN(Virtual Private Network)で接続が構築されたイントラネット環境でも、SSLサーバ証明書やSSH(Secure Shell)を用いれば組織内部の盗聴リスクを回避することができます。
クラウド型顧客管理システムの選び方
クラウド型顧客管理システムの選び方として、セキュリティ面で注意すべき点は以下のとおりです。
- 災害や侵入といった情報セキュリティの物理的な対策
- データはバックアップされるようになっているか
- ハードウェア機器について障害対策は講じられているか
- ホスト側のシステムの脆弱性に対策はなされているか
- 不正アクセスを防止するセキュリティ対策はあるか
- アクセスログは管理されているか
- 通信データは暗号化されているか
また、セキュリティ以外にも必要な機能が揃っているか、コストに見合ったパフォーマンスを発揮してくれるかといった点も比較して選びましょう。
さらに、運用に不安のある場合は、サポート体制についても確認します。運用中にトラブルが発生した時の問い合わせ方法やサポート範囲、受付時間を確認しておきましょう。
メールのセキュリティなら「メールディーラー」
セキュリティに関するトラブルとして多く指摘されているのが、メールを介して不正アクセスをしようとするサイバー攻撃です。このようなリスクに対して有効なツールとしてクラウド型メール共有・管理システム「メールディーラー」があります。
メールディーラーは導入実績8,000社を突破したクラウド型のメールシステムです。安心のセキュリティ体制と充実のサポートで、ネットショップから大規模コールセンターまで幅広い業種に選ばれています。
ここからはメールディーラーの機能をご紹介します。
メールディーラーのセキュリティ対策
メールディーラーが実装しているセキュリティ対策の一部として、情報漏えい対策と添付ファイルへのセキュリティ対策をご紹介します。
情報漏えい対策
メールディーラーはメールを一元的に共有・管理することで情報漏えいを防止し、強固なセキュリティ対策によって安心して仕事に集中できる体制を整えます。
情報漏えい対策としては、メールデータのダウンロード権限を制限することができ、アクセスログを取ることで情報が外部に持ち出されるのを防止します。従業員を監視しているのではなく、万が一情報が漏えいした場合に無用な疑いがかかることを回避するための対策です。
また、メール送信前の確認画面でクリック必須のチェックボックスを表示する機能や、二重チェックをフローに組み込む機能、添付ファイルを自動暗号化する機能など、人為的ミスを防止する機能が充実しています。
添付ファイルのセキュリティ対策
企業から機密情報が抜き取られる手口として多いのがマルウェア付きメールです。マルウェア付きメールとは、添付ファイル内にマルウェアと呼ばれる不正プログラムを仕込ませ、添付ファイルを開いた時にパソコンに不正プログラムをダウンロードさせるメールを指します。
メールディーラーでは、メールを受信する前にサーバー上で迷惑メールかどうかの判断をシステムが自動的に行い、迷惑メールと判断されたものは迷惑メールボックスに振り分けられます。これにより悪意を持った添付ファイルが付いたメールを開くリスクを低減します。
詳しくはメールディーラーの製品情報をダウンロードしてご確認ください。
まとめ
従来はLANを構築して社内のサーバーにアクセスする方式の顧客管理システムが一般的でしたが、近年はクラウド上で提供されるウェブサービスの利用が増えています。パソコンにシステムをインストールする必要がなく、さまざまなシステムやサービスと連携できるクラウドサービスは非常に便利なものです。その一方でセキュリティ面でのリスクが高いというデメリットがあります。そのため、機密性・完全性・可用性の3点をおさえたシステムを導入することが大切です。
クラウド顧客管理システムの中でも「メールディーラー」はメールのセキュリティ対策に優れた管理システムです。メールのセキュリティを高めたい方や効率的に管理を行いたい方は、メールディーラーの導入をご検討ください。
※本サイトに掲載されている情報は、株式会社ラクス(以下「当社」といいます)または協力会社が独自に調査したものであり、当社はその内容の正確性や完全性を保証するものではありません。
