「クラウド設定ミス」で情報漏洩が続発する根因 導入時は「サービス提供側の営業戦略」にも注意
東洋経済オンライン / 2024年4月10日 8時0分
生成AIが注目を集める中、企業の利用がさらに拡大しているクラウドサービス。一方、普及に伴い「設定ミス」も報道される機会が増えてきた。
クラウドサービスの設定ミスが注目され始めたのは、2016年頃。当初はIaaS(Infrastructure as a Service)におけるクラウドストレージの権限設定ミスが多かった。アメリカの陸軍や国家安全保障局といった機密情報を扱う組織も、AWSの設定ミスによる情報漏洩を発生させていた。
日本で大きな注目を集めるきっかけとなったのは、2020年に発覚した、セールスフォースの設定ミスによる複数企業の情報漏洩だろう。内閣サイバーセキュリティセンターが「Salesforce」の製品名を挙げて利用企業に注意喚起を促すほどの事態となった。
次々と追加される新機能に潜むリスク
しかしなぜ、クラウドサービスの設定ミスは起きてしまうのか。
筆者は、次の3点が主な原因になっていると推測している。
1:「新機能や新技術の追加に伴うリスク」に対する認識の欠如
2:「社内チェック機構」の機能不全
3:「セキュリティの点検方法」がわからない
1つ目は、「新機能や新技術の追加に伴うリスク」に対する認識の欠如だ。
クラウドサービスの利点の1つに、ニーズのある機能が次々に追加されるといった点がある。クラウドサービスにおいて「進化」はとても重要な競争力であり、この市場をリードするAWSは、2020年に2757回のリリースを実行している。
しかし、年間約3000回も行われる「進化」を、利用企業が人間のチェックだけですべて把握して正しい設定を行うことは、もはや不可能と言っていいだろう。
新機能や新技術が登場した時点では「追加に伴うリスクは何なのか」を判断する材料がない。そのため、リスクが認識できないまま不適切な設定が放置されやすく、ある日突然、情報漏洩などが発覚して「設定ミス」が露見するのである。
サービス提供側の営業戦略で起きる設定ミスも
2つ目の設定ミスの原因としては、「社内チェック機構」の機能不全が挙げられる。実は、サービス提供事業者の営業戦略によって、企業の中で適切なセキュリティ検討が行われることなく新しいサービスが社内に導入され、後日設定ミスが発覚するというのはよく目にする光景だ。
例えば、企業全体での利用が見込まれるオフィス系のサービスや営業管理系のサービスの場合、営業側は企業の経営幹部を狙う「トップダウン営業」をよく使い、なるべく早く契約を締結しようと、営業先のセキュリティ部隊等が提案に関与しないように誘導する。営業先でセキュリティの検討が始まってしまうと、サービス導入が遅れる、あるいはセキュリティリスクを理由に契約しないといったケースもあるからだ。
この記事に関連するニュース
-
『CSPMを導入するだけでは効果がでない』というテーマのウェビナーを開催
PR TIMES / 2024年7月5日 10時45分
-
企業のDXを支援するラキールが、脆弱性管理クラウド「yamory」を導入
PR TIMES / 2024年6月20日 12時15分
-
Netskope、業界初の生成AI搭載CASBを発表
PR TIMES / 2024年6月18日 18時45分
-
クラウドストレージ脆弱性診断提供開始のお知らせ
PR TIMES / 2024年6月12日 17時45分
-
クラウドサービスの設定ミスを引き起こすリスクの実態調査(セキュリティ評価プラットフォーム「Assured」)
PR TIMES / 2024年6月11日 12時15分
ランキング
-
1FRBの利下げ開始「9月」の見方強まる…6月の米雇用統計、人手不足の緩和傾向で
読売新聞 / 2024年7月6日 22時30分
-
2サクランボ王国・山形県に異変 6月の暑さで収穫減、対策急務
共同通信 / 2024年7月6日 16時15分
-
3日本の中古車相場が「ロシア」の影響で下落!? 厳しい「輸出規制」のなかで「売れている」クルマも? 意外な“ロシア行き日本車”とは
くるまのニュース / 2024年7月6日 12時10分
-
4ミニストップ“大量閉店”でもスイーツ人気は底なし!? 「ソフトクリーム」や「ハロハロ」がいつの間にか遂げた進化
集英社オンライン / 2024年7月6日 19時0分
-
5フリマサイトの種苗、規制強化へ 優良品種保護へ法改正も
共同通信 / 2024年7月6日 17時39分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)