【CSIJコラム12(2023,9,28)】
「業務で利用しているクラウドの設定は安全ですか?
~クラウドの設定不備に起因した事故を防止する方法について~」
株式会社マクニカ ネットワークス カンパニー
岩崎 翼
テレワークの普及やDX化により業務システムのクラウド化が進みました。クラウドサービスは導入しやすい事やテレワークとの親和性が高い等のメリットがあり、企業での利用が急激に増加しています。
総務省が発表している「通信利用動向調査」によるとテレワークを導入している企業は5割を超えました。
クラウドサービスの利用も年々増加傾向にあり、令和4年の最新の調査では「クラウドサービスの利用効果があった」と回答した企業は全体の89.0%に上り、企業にとってクラウドサービスは無くてはならない存在になりました。
参考:令和4年通信利用動向調査の結果
https://www.soumu.go.jp/menu_news/s-news/01tsushin02_02000164.html
ビジネスシーンに目を移すと、CRMやオンラインストレージ、グループウェア、オンライン会議システム等が多くの企業で利用され、業務効率が飛躍的に向上しています。
一方で、SaaSの活用が増えると共に、国内外問わず多くの企業で情報漏洩の事故が報告されています。今年に入ってからは、某自動車会社で数百万件の個人情報が約10年間にわたりインターネットに公開されてしまい、情報漏洩が発生した事案が報告されています。
この事案は、個人情報がクラウドサーバに保存され、インターネットからアクセス可能な設定になっていた事が原因で発生しました。
この事からわかることは、クラウドの設定が適切に管理されていなかった事による設定不備等の要因により情報漏洩事故に繋がってしまったという事です。
それではこのような事故を防ぐにはどのような対策が必要になるのでしょうか?
様々な観点で対策可能な事案ですが、本コラムではビジネスシーンで利用されているSaaS型クラウドサービスを対象に、設定不備による事故を防ぐ方法にフォーカスしてご説明します。
具体的な対策は以下3つのステップで進める事が望ましいと考えます。
1. 設定を監視しリスクを可視化する
SaaSをインシデントから保護するための最初のステップです。 現在の設定を監視・可視化し、現在の設定状況を把握します。
2. 可視化したリスクの分析・評価
可視化した結果に対し、セキュリティリスクを改善した場合の業務影響などを含めた分析・評価を行います。
3. 設定改善の優先順位付けと意思決定
分析・評価の結果を元に設定改善の必要性やユーザ影響、社内のセキュリティーポリシー等と照らし合わせリスク許容の可否など総合的に判断し、改善が必要と判断した場合に優先順位を付けて改善を行います。
以上がSaaSの設定不備による事故を防ぐために必要な3ステップです。これらを全て行うためにはSaaSやセキュリティの知見等が必要となり、多くの労力が必要になります。
対策を進めるにあたって懸念点や不安に思われる点等がございましたらぜひ、CSIJの各会員企業にご相談ください。
その他の対策として、近年ではSSPM(SaaS Security Posture Management)と呼ばれるSaaSの設定不備に特化し、継続的な設定監査を実現するソリューションが登場しております。
株式会社マクニカではAdaptive ShieldというSSPM製品を取り扱っておりますので、ご興味がございましたらお気軽にご連絡下さい。
※ Adaptive Shield(アダプティブシールド)
https://www.macnica.co.jp/business/security/manufacturers/adaptiveshield/adaptiveshield.html