昨今、「うちの会社はクラウドを使っていない」と断言できる企業はほとんどないだろう。知名度の高いMicrosoft 365やGoogle Workspaceをはじめ、営業支援や名刺管理、請求書発行など、業務のあらゆる場面でSaaS(Software as a Service)を利用している企業は確実に増加した。これまで自社データセンターなどオンプレミス環境で運用してきた業務アプリケーションについても、Amazon Web Services(AWS)やMicrosoft AzureなどのIaaSに移行する動きが広がっている。
新型コロナウイルスの影響で在宅勤務が広がったことをきっかけに、採用はさらに加速しているといえるだろう。
そうした中で懸念されているのが、情報セキュリティに関するリスクだ。企業はクラウド活用が当たり前になった今、危機管理のために何ができるだろうか。
企業のあらゆるデータがさまざまな形態のクラウドに分散化する中、オンプレミスで構築していた時代の情報セキュリティ対策は通用しない。抜本的に考え方を変える必要がある。本特集では、クラウドファースト時代における企業の情報セキュリティ対策の最前線を追う。
およそ10年前には「クラウドは何となく不安だ」という声も珍しくなかった。だが、固定資産を持たずに済み、場所を問わず利用できるといったメリットの認識が広がるにつれ、そうした声は打ち消されてきた。クラウドサービスを一部でも利用している企業の割合は、前年の58.7%からさらに増加し、64.7%に達している(「総務省 令和二年版 情報通信白書」より)。
ただ、それに伴ってリスクも浮上している。「セキュリティに不安がある」という声は、クラウドを利用しない理由としてしばしば挙げられてきたが、その懸念はある意味当たったといえる。
例えば2021年初めには、福岡県が新型コロナウイルス感染症の陽性者9500人分の個人情報をクラウドサービス上で外部から閲覧できる状態になっていたことを明らかにした(関連記事)。組織外の相手と手軽に情報を共有できるのがクラウドストレージの良さだが、アクセス設定や権限設定が不適切だったために第三者でも閲覧できる状態になってしまっていた。
こういった事故は、それこそクラウドサービスの利用が始まった頃から度々起こってきた事故であり、なかなか撲滅できていない。
また2020年末から2021年に掛けて多発しているのが、Salesforce.comの設定不備に起因する不正アクセスだ。大手企業でも被害が相次いだことを受け、NISCが注意喚起を公表するに至っている(関連記事)。
これもまた、アクセス制御の権限設定が適切に行われていなかったことが原因となっている。
このような意図的ではない設定ミス以外に、悪意ある攻撃のリスクももちろんある。例えば、クラウドサービスのアカウント情報が抜き取られて乗っ取られ、269人の個人情報を含む患者情報を記したファイルが攻撃者に閲覧可能な状態になった岡山大学病院のケースのように、フィッシングメールをはじめとする脅威は、オンプレミスであろうとクラウドであろうと変わりがない。ただこの場合は、本来保存すべきではないデータをアップロードしていたという、クラウド利用やデータに関するルール違反といった問題も絡んでくる。
ここまで紹介した事故での被害は主に情報漏えいだが、アカウント管理が適切でなかったり、クラウド上のリソースに脆弱性があったために不正アクセスを受け、勝手にクラウド上のリソースを使われ、ときに暗号通貨のマイニングに悪用されて高額な請求を受けたりという被害例もある。
また、IaaSに移行した業務システムと閉域網で接続している場合、クラウドをオンプレミス環境へのマルウェア感染や侵害の足掛かりに使われる恐れもある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR