クラウドの設定ミス、気を付けても見落としがちな“あるポイント”　セキュリティ診断会社に聞く（1/2 ページ）

[高橋睦美，ITmedia]

　クラウドサービス、特にSaaSの設定ミスによって情報が第三者に公開される状態になり、情報流出につながってしまう事件が相次いでいる。例えば楽天やPayPayは2020年、CRMツール「Salesforce」の設定ミスから、順に148万件、2000万件以上の情報が流出した可能性があると発表した。

　こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際にクラウドセキュリティの診断サービスを提供するラックに、クラウドサービスの設定を見直す企業が増えているのか聞いた。

　同社の柳澤伸幸さん（セキュリティプロフェッショナルサービス統括部 診断技術グループマネジャー）と土屋修平さん（デジタルイノベーション事業部 グループマネジャー）、上原孝太さん（金融事業部サービス第三部部長）によれば、セキュリティ意識の高い企業が診断を求めるケースが増えつつあるという。一方で、そういった企業が見落としがちな設定も見えてきたとしている。

ダブルチェックを求める企業が増加

　「最近では、不適切な設定や脆弱性を突かれた結果、リソースを勝手に使われて仮想通貨のマイニングに使われるケースに加え、機密情報や顧客の個人情報が詐取されてしまう事件も報じられている。セキュリティに自覚的な企業の中には、こうしたリスクを意識し、積極的に診断サービスを受けるところも増えている」

　ラックのサービスを利用する企業の傾向について、柳澤さんはこう話す。中には10年以上前からクラウドに取り組んできた企業もあるという。ただし、そういった企業でもクラウドの安全な利活用は簡単ではなく、試行錯誤しながら進めている場合がほとんどとしている。

　一方で、クラウドサービス側のセキュリティ設定にもある変化がみられる。柳澤さんは「昔はクラウドサービス側の初期設定がけっこう危ない状態になっており、そのまま導入した結果、問題が起きたケースも多かった。しかし今は、初期設定が比較的安全なサービスが増えてきている」と話す。

　こういった背景もあり、同社に診断を依頼する企業はアクセスの権限やクラウドストレージの設定など、不正アクセスにつながる部分は厳しく管理し、その上でさらなるチェックを求める場合が多いという。

「ログ」「監査」周りの設定は見落としがちに？

　しかし、これらの企業でも設定が不十分になりがちな部分がある。それは、何かインシデントが発生したときに、原因の追跡に使うログやそれを監査する仕組みの設定だ。

　「何かインシデントがあったときにログを基に追跡できるか、フォレンジック（法的証拠を見つけるための調査）を可能にするだけの情報を収集しているかといった部分はまだきちんと設定されていない傾向にある」（土屋さん）

　こういった設定ができていないと「情報漏えいが起きたときに流出元が分からない」「実は漏れているのにその事実を把握できていない」といった事態につながる。そのため、ネットワーク周りの監視・制御やログ収集にも注力する必要があるという。

　「（情報漏えいなどの）一番悪いパターンでも、まったく証跡がなく、何がどう漏れたか分からないというのでは話にならない。せめて後から調査して原因が分かれば、次の対策が打ちやすくなる」（同）