事業継続脅かす「クラウドサービス」安全性の盲点 セキュリティ評価や選び方のポイントとは?
東洋経済オンライン / 2024年3月22日 8時0分
実は、十分な対策ができているクラウドサービス事業者は多くないということだ。
そのため、クラウドサービスを利用する企業は、サービス事業者のセキュリティ対策状況を確認し、自組織のリスクアセスメントプロセスに沿ってリスク評価を実施したうえで、どこまでリスクが許容できるか検討することが推奨される。また、クラウドサービス導入後の定期的な評価を実施していない企業も多く見受けられる。
アシュアードでは、セキュリティ専門人材が定期的に各種クラウドサービスのリスク評価を行い、その安全情報をデータベース化しているが、セキュリティ評価のスコアが初回調査から2回目以降で低下しているサービスは3割に上る。
つまり、新規導入時は問題なしと判断した場合も、最新調査では懸念がある状態になっている可能性があり、定期的なセキュリティ評価が重要であると言える。
さらに定期評価と併せて、利用中のクラウドサービスを台帳管理し、最新の利用状況を可視化することも有効だ。これができていない場合、利用するクラウドサービスでセキュリティインシデントが発生した際に迅速な影響調査を行うことが困難になる。
例えば、PoC(概念実証)のため少人数でクラウドサービスを利用し、機密情報を取り扱わない条件で利用判断を行っていたのに、いつの間にか本導入され複数の部門が利用し、機密情報を取り扱うようになっていたという事例もある。
利用用途や取り扱うデータの内容によってリスクが変わるため、最新利用状況と定期評価結果から継続利用の可否を検討することが求められる。
情シス部門の指示だけでは社内の理解は得られにくい
クラウドサービスの利用部門への啓蒙や指示も欠かせない。多要素認証などのセキュリティ機能を有しているクラウドサービスを選定しても、現場が利便性を優先して多要素認証を利用していないといったケースがあるからだ。
IT・情シス部門からただ指示を出すだけでは利用部門からの理解が得られにくいため、経営者がセキュリティ重視の姿勢を社内に示したうえで、世の中のインシデント事例を活用しながら、対策の必要性やメリットについて伝えていくことが効果的である。
クラウドサービスの利用が事業の拡大に欠かせない今となっては、その利用を控えることはできない。一方、事業リスクとなるクラウドサービスに係るセキュリティインシデントは増加していくことが想定される。
そのため、クラウドサービスのセキュリティ評価や選定は、企業の事業継続にとって今後さらに重要な要素となっていくだろう。
早崎 敏寛:アシュアード セキュリティグループ マネージャー
外部リンク
この記事に関連するニュース
-
クラウドサービス事業者による契約終了後のデータ取り扱い実態調査(Assured調べ)
PR TIMES / 2024年5月15日 11時15分
-
国産脆弱性診断・ASMツール「GMOサイバー攻撃 ネットde診断」 「Palo Alto Networks」、「Cisco」、「SonicWall」の脆弱性診断が可能に
PR TIMES / 2024年4月30日 11時15分
-
考えておきたい、中小企業のランサムウェア対策について
PR TIMES / 2024年4月26日 16時40分
-
『ランサムウェアやメール経由のサイバー攻撃からエンドポイントをどう守ればいいのか?』というテーマのウェビナーを開催
PR TIMES / 2024年4月26日 13時40分
ランキング
-
1消えゆく「回転レストラン」…80年代には全国50店→再開発・老朽化で数店舗に
読売新聞 / 2024年5月18日 15時0分
-
2農林中金が1兆円規模の増資検討…米金利高で外債の含み損拡大、5000億円赤字の見通し
読売新聞 / 2024年5月18日 23時10分
-
3「定年コロリ」という言葉も…長年のシフト勤務が〈睡眠の質〉や体に及ぼす影響は?【スタンフォード大教授が解説】
THE GOLD ONLINE(ゴールドオンライン) / 2024年5月18日 17時15分
-
4東京から新幹線…「新神戸」よりも、一駅先の「西明石」まで買った方がおトク!? JR往復割引「601キロ」のカラクリ
まいどなニュース / 2024年5月19日 8時2分
-
5“スーパー化”するドラッグストア 野菜や肉・魚のほか店内調理のパンや総菜も並ぶ 専門家「男性顧客も視野に入れて食品を強化か」
MBSニュース / 2024年5月18日 13時20分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください