クラウドサービスを「あれもこれも」と使いすぎると危険？　識者が説くセキュリティ対策の落とし穴

[濱口翔太郎，ITmedia]

　クラウドサービスの普及は、企業の業務を効率化した反面、セキュリティ対策を難しくしたのかもしれない――。マカフィーは2月4日、クラウド利用の課題を浮き彫りにする調査結果を発表した。

　調査では、日本・シンガポール・オーストラリアなど11カ国で働く計1000人のIT担当者を対象に、勤務先のクラウド利用とセキュリティ対策の状況について聞いた。

　その結果、企業が正式導入しているクラウドサービス（IaaS、PaaS、SaaS）の平均数は計41個だった。パブリッククラウド上に機密データを置いている企業は79％、個人デバイスからクラウドサービスへのアクセスを認めている企業も79％だった。

　BYODの導入などにより、クラウド上にある機密データを個人デバイスにダウンロードできる企業は25％。「自社のクラウド上のデータへの可視性を欠いている（増えすぎたため把握しきれていない）」との危機感を持つ企業は20％だった。

　これらの結果に対し、マカフィーの櫻井秀光氏（セールスエンジニア本部 本部長）は「多くの企業が別々のプロバイダーの管理下に機密性の高いデータを分散させているが、一貫したデータ保護を行っていない状況がうかがえる」と指摘。

　データの格納先が増えたり、個人デバイスへのダウンロードが多くなったりすると、攻撃・漏えいのリスクが高まるため、「今後はハード面だけでなく、経路や格納先も含め、統合的なセキュリティポリシーの設定が必要だ」（櫻井氏）と説明した。

シャドーITの楽観視は危険

　一方、企業が正式導入したクラウドサービスだけが使われているとは限らない。非公式なシャドーITも含めると、企業内で利用されているツールはより多く、データの保管場所がさらに広範囲にわたっていることが懸念される。

　そこでマカフィーは、調査対象者がシャドーITとして使っているクラウドサービスをまとめ、その安全性を確認した。

　その結果、提供元が保持しているデータを暗号化しているサービスは9％にとどまっていた。ユーザーがアカウントを削除した後もデータを削除せず、提供元のマーケティングなどに利用するツールは87％に上った。

　また、過去にデータ流出を起こした“前科”のあるクラウドサービスをシャドーITとして使い続けている企業は52％だった。

　櫻井氏は「国内における『宅ふぁいる便』のように、シャドーITとして多く使われていたクラウドサービスから情報が漏れることもある。また昨今は、PDFファイルをWordやExcelに変換したり、読み込ませたドキュメントを翻訳したりできるSaaSが出回っているが、これらはアップロードした情報を搾取している可能性がある」と説明。企業は社員がリスクあるサービスを使わないよう、利用制限などの管理を徹底すべきだと主張した。

　調査では、セキュリティ担当者の55％が「シャドーITはデータ保護に悪影響を及ぼさない」と楽観視していることが判明した。企業のCISO（最高情報セキュリティ責任者）の7％、ネットワークセキュリティマネジャーの20％が、「データ流出の責任は、自社ではなくクラウドプロバイダー側にある」と考えていることも分かった。

　櫻井氏は「組織内の認識のずれが、データ損失リスクにつながる可能性がある」と警鐘を鳴らし、上層部の間で見解を統一すべきだと提案。「（シャドーITではなく）きちんと監査をした上で、最適なクラウドサービスを選ぶべきだ」と強調した。