｢クラウド設定ミス｣で情報漏洩が続発する根因 導入時は｢サービス提供側の営業戦略｣にも注意

クラウドサービスの設定ミスによる情報漏洩が後を絶たない（写真：takeuchi masato/PIXTA）

生成AIが注目を集める中、企業の利用がさらに拡大しているクラウドサービス。一方、普及に伴い「設定ミス」も報道される機会が増えてきた。

クラウドサービスの設定ミスが注目され始めたのは、2016年頃。当初はIaaS（Infrastructure as a Service）におけるクラウドストレージの権限設定ミスが多かった。アメリカの陸軍や国家安全保障局といった機密情報を扱う組織も、AWSの設定ミスによる情報漏洩を発生させていた。

日本で大きな注目を集めるきっかけとなったのは、2020年に発覚した、セールスフォースの設定ミスによる複数企業の情報漏洩だろう。内閣サイバーセキュリティセンターが「Salesforce」の製品名を挙げて利用企業に注意喚起を促すほどの事態となった。

次々と追加される新機能に潜むリスク

しかしなぜ、クラウドサービスの設定ミスは起きてしまうのか。

筆者は、次の3点が主な原因になっていると推測している。

1：「新機能や新技術の追加に伴うリスク」に対する認識の欠如
2：「社内チェック機構」の機能不全
3：「セキュリティの点検方法」がわからない

1つ目は、「新機能や新技術の追加に伴うリスク」に対する認識の欠如だ。

クラウドサービスの利点の1つに、ニーズのある機能が次々に追加されるといった点がある。クラウドサービスにおいて「進化」はとても重要な競争力であり、この市場をリードするAWSは、2020年に2757回のリリースを実行している。

しかし、年間約3000回も行われる「進化」を、利用企業が人間のチェックだけですべて把握して正しい設定を行うことは、もはや不可能と言っていいだろう。

新機能や新技術が登場した時点では「追加に伴うリスクは何なのか」を判断する材料がない。そのため、リスクが認識できないまま不適切な設定が放置されやすく、ある日突然、情報漏洩などが発覚して「設定ミス」が露見するのである。

サービス提供側の営業戦略で起きる設定ミスも

2つ目の設定ミスの原因としては、「社内チェック機構」の機能不全が挙げられる。実は、サービス提供事業者の営業戦略によって、企業の中で適切なセキュリティ検討が行われることなく新しいサービスが社内に導入され、後日設定ミスが発覚するというのはよく目にする光景だ。

例えば、企業全体での利用が見込まれるオフィス系のサービスや営業管理系のサービスの場合、営業側は企業の経営幹部を狙う「トップダウン営業」をよく使い、なるべく早く契約を締結しようと、営業先のセキュリティ部隊等が提案に関与しないように誘導する。営業先でセキュリティの検討が始まってしまうと、サービス導入が遅れる、あるいはセキュリティリスクを理由に契約しないといったケースもあるからだ。