事業継続脅かす｢クラウドサービス｣安全性の盲点 セキュリティ評価や選び方のポイントとは？

実は、十分な対策ができているクラウドサービス事業者は多くないということだ。

そのため、クラウドサービスを利用する企業は、サービス事業者のセキュリティ対策状況を確認し、自組織のリスクアセスメントプロセスに沿ってリスク評価を実施したうえで、どこまでリスクが許容できるか検討することが推奨される。また、クラウドサービス導入後の定期的な評価を実施していない企業も多く見受けられる。

アシュアードでは、セキュリティ専門人材が定期的に各種クラウドサービスのリスク評価を行い、その安全情報をデータベース化しているが、セキュリティ評価のスコアが初回調査から2回目以降で低下しているサービスは3割に上る。

つまり、新規導入時は問題なしと判断した場合も、最新調査では懸念がある状態になっている可能性があり、定期的なセキュリティ評価が重要であると言える。

さらに定期評価と併せて、利用中のクラウドサービスを台帳管理し、最新の利用状況を可視化することも有効だ。これができていない場合、利用するクラウドサービスでセキュリティインシデントが発生した際に迅速な影響調査を行うことが困難になる。

例えば、PoC（概念実証）のため少人数でクラウドサービスを利用し、機密情報を取り扱わない条件で利用判断を行っていたのに、いつの間にか本導入され複数の部門が利用し、機密情報を取り扱うようになっていたという事例もある。

利用用途や取り扱うデータの内容によってリスクが変わるため、最新利用状況と定期評価結果から継続利用の可否を検討することが求められる。

情シス部門の指示だけでは社内の理解は得られにくい

クラウドサービスの利用部門への啓蒙や指示も欠かせない。多要素認証などのセキュリティ機能を有しているクラウドサービスを選定しても、現場が利便性を優先して多要素認証を利用していないといったケースがあるからだ。

IT・情シス部門からただ指示を出すだけでは利用部門からの理解が得られにくいため、経営者がセキュリティ重視の姿勢を社内に示したうえで、世の中のインシデント事例を活用しながら、対策の必要性やメリットについて伝えていくことが効果的である。

クラウドサービスの利用が事業の拡大に欠かせない今となっては、その利用を控えることはできない。一方、事業リスクとなるクラウドサービスに係るセキュリティインシデントは増加していくことが想定される。

そのため、クラウドサービスのセキュリティ評価や選定は、企業の事業継続にとって今後さらに重要な要素となっていくだろう。

早崎 敏寛：アシュアード セキュリティグループ マネージャー