｢クラウド設定ミス｣で情報漏洩が続発する根因 導入時は｢サービス提供側の営業戦略｣にも注意

仮に営業先のセキュリティ部隊が関与できたとしても、「社長肝入りのDX案件」などと言われてしまうと、セキュリティ部隊は批判を恐れて、本来実施しなければならないセキュリティ検討項目のいくつかに目をつむってしまうこともある。

一方、従業員同士のコミュニケーションツールやクラウドストレージといったサービスの場合は、従業員から徐々に浸透させる「ボトムアップ営業」が用いられることもある。

この場合、従業員が無料プランなどを利用して勝手に使い始めてしまい、情報システム部門が存在を認知していない「シャドーIT化」するリスクがある。つまり、どのような設定をしているかについて、企業の責任ある立場の人間が誰も把握していないという危険な状況になってしまう。

3つ目の設定ミスの原因は、「セキュリティの点検方法」がわからないというものだ。

真面目に設定ミスがないかを確認しようと思ったときに「何を確認すればよいのか」という課題にぶつかることも多い。総務省やIPAからもガイドラインが公開されているが、セキュリティ専任者がいない中小企業などからは、「ガイドラインを参考にできるほど人も運用体制も整っていない」という声が聞こえてくる。

設定ミスを防ぐ「3つの対策」とは？

では、「設定ミス」を抑制するには、どのような対策が検討できるだろうか。筆者は下記の3点を挙げる。

1：自社のクラウドサービスの「利用状況を可視化」
2：自社の「認可クラウドサービス」を特定
3：「人」の問題にせず「ツール」を導入

1つ目は、自社のクラウドサービスの「利用状況を可視化」すること。まず取りかかるべきは、全体像の把握だ。全体像を把握しないまま自分たちが認識できているクラウドサービスだけを重点的にチェックしたとしても、ほかのサービスに設定ミスがあれば、情報はそこから漏れ出してしまう。

自社の利用状況を可視化できると、その数に圧倒されるだろう。クラウドセキュリティサービスを提供するNetskopeの調査によれば、企業が利用しているクラウドサービスは、1社当たりおよそ2400個に上るという。大半がGoogle AdSenseなどの広告系サービスやSNSサービスだが、クラウドストレージやチャットサービスといった深刻な情報漏洩につながるサービスが20～50個程度検出されるのは珍しくない。

2つ目に大切なのが、自社の「認可クラウドサービス」の特定だ。設定ミスが重大な事故へとつながるクラウドサービスを特定し、それを「認可クラウド」として定義して、IPAや総務省等が公開しているガイドラインを参照し重点的にチェックしたい。