オンプレ？クラウド？ファイルサーバーはどちらが安全か

Box JapanでSolution Engineerを担当しているYukiです。
普段はお客様やパートナー様にBoxの紹介や提案活動を行っています。その中で、時折こんな質問をいただくことがあります。

💭実体が見えづらいクラウドにファイルを置いてしまって大丈夫なのか？
💭自社が管理する重要なコンテンツはオンプレミスファイルサーバーで管理したほうがよいのか？
💭オンプレとクラウドはどちらが安全なのか？

そこで、今回はセキュリティの観点からオンプレとクラウドの安全性の違いについてご紹介します。

オンプレの安心感

オンプレファイルサーバーの特徴として以下のようなものが挙げられます。

• ロケーションからハードウェア、バックアップといったシステム構成まで自社の基準で選定することができる

• セキュリティ対策を自社の基準で設定できる

• 管理体制が明確なため、トラブル時に対応がしやすい

オンプレのユーザーが感じる最大の利点は、「自分たちで管理できる」部分ではないでしょうか。
私もシステム運用の経験から、システム構成上のどこに対象のサーバーがあって、物理的にどの場所に置かれていて、どんなハードウェアを使っているか・・・これらすべてを把握できていることに安心感がありました。
障害が起きた時には「あのサーバーだ！」とすぐにアクセスできたり、状況によっては現地のサーバーの前まで走ったりすることもできました。

また構成についても（昔の話ですが）、「ファイアウォールがあるこのエリアは安全」と、決められたルールの中で運用されていることで安心感がありました。
反対に、クラウドサービスなるものが出てきた当時はどんな環境で管理されているかがこちらにはわからない場所にデータを預けてしまって大丈夫なのか、不安を感じました。

当時、先輩SEに「クラウドって具体的に何を指しているのか」と尋ねたところ「もやもやしていてよくわからんからクラウドなんだろう」というような会話をしたことを覚えています。

オンプレファイルサーバーは本当に安全なのでしょうか。ここからはオンプレファイルサーバーのセキュリティ上の課題も考えてみたいと思います。

「自社管理できる安心感」を過信してはいけない

セキュリティ上の脅威はものすごい速さで多様化、高度化を繰り返しています。ランサムウェア攻撃、標的型攻撃、内部不正による情報漏洩、サプライチェーンを悪用した攻撃・・・などなど、代表的なものでもこれだけの種類の脅威があります。警察庁の広報資料「令和６年上半期における サイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアの被害報告件数は令和6年上半期だけで114件と高水準で推移している状況です。

外部脅威であろうが内部脅威であろうが、企業や組織のもつコンテンツが狙われています。ランサムウェアの暗号化の対象はコンテンツであり、内部不正で盗み出される対象もコンテンツなのです。

管理の面で安心感のあるオンプレファイルサーバーですが、最大の課題はセキュリティの脅威に対して、自分たちで対策しなければならないことです。

対策の一例を挙げてみます。

• ランサムウェアの暗号化への対策

• 外部からの侵入経路の把握と脆弱性管理

• 内部不正による情報窃取の対策

• サプライチェーンに関わる取引先のセキュリティ対策状況の把握

もちろんファイルサーバーに限らず、情報セキュリティとしてそもそも対策しなければいけないものもありますが、多様化・高度化するサイバー脅威に対して自社で全てをやりきるのは、セキュリティの人材不足やコストの問題等で、敷居が高いのも事実です。

クラウドはセキュリティ対策もサービスに含まれている

一方でクラウドサービスはどうでしょうか。
Boxの場合、Box上にアップロードされたファイルに対して、以下のように様々なセキュリティ対策技術により保護しています。

• ランサムウェアが実行できない環境

• 暗号化された場合の復元手段

• 専門のSOCチームによるセキュリティや脆弱性の管理

• アクセス権限管理による内部不正対策

• SSO、2段階認証といったサプライチェーン対策

• サードパーティのセキュリティ製品との連携

Boxは、ファイルをお預かりする専門のクラウドサービスだからこそ、リソースを集約し、高度なセキュリティ対策を実現することができます。
こうした環境を個々の企業で実現するのは難しく、セキュリティ対策という側面ではクラウドのほうが利点があると感じます。

▼Boxのランサムウェア対策の詳細についてはこちら

信頼性の高いクラウドサービスを選ぼう

すべてのクラウドサービスが必ずオンプレよりも安全ではない、という点に注意が必要です。クラウドサービスといっても実体は事業者が運用するデータセンターであり、そのセキュリティレベルには差があります。

では信頼性の高いクラウドサービスとそうでないものを見分けるにはどうすればよいでしょうか。
簡単な方法として2つが挙げられると思います。

一点目はランサムウェア対策や内部不正対策等、ファイルサーバーとしてのセキュリティ対策機能がどの程度実装されているかどうかを確認するのがよいと思います。
ファイルを管理する上で必要なセキュリティ対策がどの程度取られているかが、そのクラウドサービスのセキュリティ対策レベルを図る上で需要なポイントになります。

二点目としては第三者認証資格をどの程度取得しているかを確認する方法があります。
第三者認証資格には機関によって様々な資格がありますが、それぞれ厳しい基準が設けられており、取得するには必要な機能を実装や体制の用意が必要になります。
第三者認証を取得有無は、そのベンダーがどれだけ厳格なセキュリティ対策を行っていることを客観的に見分ける一つの指標になるかと思います。
Boxは、2021年より政府が認定する「ISMAP」への登録がされています。

最後に

今回はオンプレとクラウドどちらが安全か？について記事を書かせていただきました。オンプレとクラウドで一概にどちらが安全かは断定できないものの、もしファイルサーバーをクラウド移行する上でお悩みの方がいれば一つの参考になれば幸いです。

▼オンプレミスからクラウドへ移行し業務効率化やセキュリティ向上を実現した事例

l  マックス株式会社様
650台あるオンプレミスのサーバーを半減し、オンプレミスサーバーをクラウドに移行

マックス | 導入事例詳細 | Box Japan

l  武蔵野銀行様
デジタル戦略を加速する一環として、従来のオンプレミス環境からの移行を図る

武蔵野銀行 | 導入事例詳細 | Box Japan

l  株式会社エイト日本技術開発様
従来のオンプレミス環境からクラウドへの全面的な移行を決断

エイト日本技術開発 | 導入事例詳細 | Box Japan