「クラウド設定ミス」で情報漏洩が続発する根因 導入時は「サービス提供側の営業戦略」にも注意
東洋経済オンライン / 2024年4月10日 8時0分
仮に営業先のセキュリティ部隊が関与できたとしても、「社長肝入りのDX案件」などと言われてしまうと、セキュリティ部隊は批判を恐れて、本来実施しなければならないセキュリティ検討項目のいくつかに目をつむってしまうこともある。
一方、従業員同士のコミュニケーションツールやクラウドストレージといったサービスの場合は、従業員から徐々に浸透させる「ボトムアップ営業」が用いられることもある。
この場合、従業員が無料プランなどを利用して勝手に使い始めてしまい、情報システム部門が存在を認知していない「シャドーIT化」するリスクがある。つまり、どのような設定をしているかについて、企業の責任ある立場の人間が誰も把握していないという危険な状況になってしまう。
3つ目の設定ミスの原因は、「セキュリティの点検方法」がわからないというものだ。
真面目に設定ミスがないかを確認しようと思ったときに「何を確認すればよいのか」という課題にぶつかることも多い。総務省やIPAからもガイドラインが公開されているが、セキュリティ専任者がいない中小企業などからは、「ガイドラインを参考にできるほど人も運用体制も整っていない」という声が聞こえてくる。
設定ミスを防ぐ「3つの対策」とは?
では、「設定ミス」を抑制するには、どのような対策が検討できるだろうか。筆者は下記の3点を挙げる。
1:自社のクラウドサービスの「利用状況を可視化」
2:自社の「認可クラウドサービス」を特定
3:「人」の問題にせず「ツール」を導入
1つ目は、自社のクラウドサービスの「利用状況を可視化」すること。まず取りかかるべきは、全体像の把握だ。全体像を把握しないまま自分たちが認識できているクラウドサービスだけを重点的にチェックしたとしても、ほかのサービスに設定ミスがあれば、情報はそこから漏れ出してしまう。
自社の利用状況を可視化できると、その数に圧倒されるだろう。クラウドセキュリティサービスを提供するNetskopeの調査によれば、企業が利用しているクラウドサービスは、1社当たりおよそ2400個に上るという。大半がGoogle AdSenseなどの広告系サービスやSNSサービスだが、クラウドストレージやチャットサービスといった深刻な情報漏洩につながるサービスが20~50個程度検出されるのは珍しくない。
2つ目に大切なのが、自社の「認可クラウドサービス」の特定だ。設定ミスが重大な事故へとつながるクラウドサービスを特定し、それを「認可クラウド」として定義して、IPAや総務省等が公開しているガイドラインを参照し重点的にチェックしたい。
この記事に関連するニュース
-
『CSPMを導入するだけでは効果がでない』というテーマのウェビナーを開催
PR TIMES / 2024年7月5日 10時45分
-
企業のDXを支援するラキールが、脆弱性管理クラウド「yamory」を導入
PR TIMES / 2024年6月20日 12時15分
-
Netskope、業界初の生成AI搭載CASBを発表
PR TIMES / 2024年6月18日 18時45分
-
クラウドストレージ脆弱性診断提供開始のお知らせ
PR TIMES / 2024年6月12日 17時45分
-
クラウドサービスの設定ミスを引き起こすリスクの実態調査(セキュリティ評価プラットフォーム「Assured」)
PR TIMES / 2024年6月11日 12時15分
ランキング
-
1FRBの利下げ開始「9月」の見方強まる…6月の米雇用統計、人手不足の緩和傾向で
読売新聞 / 2024年7月6日 22時30分
-
2サクランボ王国・山形県に異変 6月の暑さで収穫減、対策急務
共同通信 / 2024年7月6日 16時15分
-
3日本の中古車相場が「ロシア」の影響で下落!? 厳しい「輸出規制」のなかで「売れている」クルマも? 意外な“ロシア行き日本車”とは
くるまのニュース / 2024年7月6日 12時10分
-
4ミニストップ“大量閉店”でもスイーツ人気は底なし!? 「ソフトクリーム」や「ハロハロ」がいつの間にか遂げた進化
集英社オンライン / 2024年7月6日 19時0分
-
5フリマサイトの種苗、規制強化へ 優良品種保護へ法改正も
共同通信 / 2024年7月6日 17時39分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)