「クラウド設定ミス」で情報漏洩が続発する根因 導入時は「サービス提供側の営業戦略」にも注意
東洋経済オンライン / 2024年4月10日 8時0分
生成AIが注目を集める中、企業の利用がさらに拡大しているクラウドサービス。一方、普及に伴い「設定ミス」も報道される機会が増えてきた。
クラウドサービスの設定ミスが注目され始めたのは、2016年頃。当初はIaaS(Infrastructure as a Service)におけるクラウドストレージの権限設定ミスが多かった。アメリカの陸軍や国家安全保障局といった機密情報を扱う組織も、AWSの設定ミスによる情報漏洩を発生させていた。
日本で大きな注目を集めるきっかけとなったのは、2020年に発覚した、セールスフォースの設定ミスによる複数企業の情報漏洩だろう。内閣サイバーセキュリティセンターが「Salesforce」の製品名を挙げて利用企業に注意喚起を促すほどの事態となった。
次々と追加される新機能に潜むリスク
しかしなぜ、クラウドサービスの設定ミスは起きてしまうのか。
筆者は、次の3点が主な原因になっていると推測している。
1:「新機能や新技術の追加に伴うリスク」に対する認識の欠如
2:「社内チェック機構」の機能不全
3:「セキュリティの点検方法」がわからない
1つ目は、「新機能や新技術の追加に伴うリスク」に対する認識の欠如だ。
クラウドサービスの利点の1つに、ニーズのある機能が次々に追加されるといった点がある。クラウドサービスにおいて「進化」はとても重要な競争力であり、この市場をリードするAWSは、2020年に2757回のリリースを実行している。
しかし、年間約3000回も行われる「進化」を、利用企業が人間のチェックだけですべて把握して正しい設定を行うことは、もはや不可能と言っていいだろう。
新機能や新技術が登場した時点では「追加に伴うリスクは何なのか」を判断する材料がない。そのため、リスクが認識できないまま不適切な設定が放置されやすく、ある日突然、情報漏洩などが発覚して「設定ミス」が露見するのである。
サービス提供側の営業戦略で起きる設定ミスも
2つ目の設定ミスの原因としては、「社内チェック機構」の機能不全が挙げられる。実は、サービス提供事業者の営業戦略によって、企業の中で適切なセキュリティ検討が行われることなく新しいサービスが社内に導入され、後日設定ミスが発覚するというのはよく目にする光景だ。
例えば、企業全体での利用が見込まれるオフィス系のサービスや営業管理系のサービスの場合、営業側は企業の経営幹部を狙う「トップダウン営業」をよく使い、なるべく早く契約を締結しようと、営業先のセキュリティ部隊等が提案に関与しないように誘導する。営業先でセキュリティの検討が始まってしまうと、サービス導入が遅れる、あるいはセキュリティリスクを理由に契約しないといったケースもあるからだ。
この記事に関連するニュース
-
『危険なクラウドの「設定ミス」/CSPMサービスの紹介』というテーマのウェビナーを開催
PR TIMES / 2024年4月29日 11時15分
-
クラウドをはじめとするWebサービスのセキュリティチェックを支援する「Conoris」4月23日より正式リリース
PR TIMES / 2024年4月23日 13時45分
-
脆弱性管理クラウド「yamory」が、経済産業省「情報セキュリティサービス基準」に適合認定
PR TIMES / 2024年4月15日 15時15分
-
Sysdig、2024年Google Cloudテクノロジーパートナー・オブ・ザ・イヤー(セキュリティ部門)に選出
PR TIMES / 2024年4月10日 17時40分
-
クラウドサービス設定診断支援の提供開始
PR TIMES / 2024年4月9日 17時45分
ランキング
-
1【参加募集告知】 『不思議の国のアリス』の世界観を香りで感じるハンドクリーム作り
Digital PR Platform / 2024年5月1日 11時5分
-
2「テーマパーク化した大学」を経たZ世代の不都合 先生と生徒が共犯でうみだす「いい子症候群」
東洋経済オンライン / 2024年5月1日 12時0分
-
3観光業で働く人のためにも「GWは廃止すべき」 こう提言しても、何も変わらなかった理由
ITmedia ビジネスオンライン / 2024年5月1日 6時40分
-
4経営者目線 ジム・ロジャーズ氏「今後1年の間に大暴落」を警告 ワタミ来月40周年
zakzak by夕刊フジ / 2024年5月1日 15時30分
-
5テスラ、突然の充電器部門閉鎖 自動車業界に動揺
ロイター / 2024年5月1日 10時5分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください