クラウドの利用が急増したことにより、企業はさまざまなデータを正しく安全に管理する必要があります。クラウドは紙媒体や個別で書類を保存する従来の方法と違い、物理的なスペースを取ることなく、いつでも必要な情報を取り出せるとしてとても重宝されています。
その一方で、クラウドの設定ミスによって情報が洩れてしまうリスクも高まっており、クラウド設定ミスによって起こった情報漏洩で、大きな問題に発展することもあります。なぜこうした事態になってしまうのか、原因とその対策について見てみましょう。
増加するSaaS設定ミスによる情報漏洩
クラウド環境が増えたことにより、情報管理の難しさが上がっています。そのため、ちょっとした設定ミスや不十分なセキュリティによって、情報漏洩や不正アクセスが多発しており、大きなトラブルに発展しうる状況が企業で相次いで起こっています。
実際に、日本の大手企業でも機密情報が流出した事例も多数報告されており、企業にとってクラウドでのデータ管理については非常に大きな課題になっていると言えるでしょう。
また、クラウドという便利なシステムゆえに、ハッカーや悪意を持ったユーザーも攻撃しやすいというデメリットがあります。会社の書庫で情報を保管しているのではなく、クラウドという誰しもが手の届く場所に情報があるため、企業側のリスクも高いと言えるでしょう。
中には、外部からの攻撃によって露呈してしまった情報だけでなく内部から、つまり社内の悪意ある人間の手によって情報漏洩してしまったというパターンも見受けられます。このように、クラウド化が進むことによって、データの扱いにはさまざまなリスクを抱えていることがわかります。
こうした情報漏洩リスクは従業員一人ひとりがセキュリティに対する正しい知識を持っておくとともに、SaaS設定を正しく行い、管理や安全対策を万全に整えることで防げる問題も少なくありません。
クラウドの設定ミスが起こる原因とは?
では、クラウドからの情報漏洩の原因となる「クラウドの設定ミス」がなぜ起こってしまうのでしょうか?
そもそも設定ミスがなければ情報漏洩する可能性はぐんと低くなりますが、なぜこのようなことが起こるのか、その原因を探ってみましょう。
希薄なセキュリティ意識
まず、クラウドの場合は自社内で管理を行う「オンプレミス型」という方法とは違い、セキュリティ対策を行う別の企業が開発するサービスを利用する形を、企業の大半が採用しています。そのため、クラウドサービスを利用する企業は、開発企業のルールを遵守し、利用する必要がありますが、同時に2社が相互的にセキュリティ対策をする必要があります。
そのひとつが、クラウドサービスを利用する側の企業が行うアクセス権の設定です。この設定にミスがあると重大な情報がこぼれてしまう可能性があり、非常にリスクが高いと言えます。
また、クラウドサービスを提供する側の企業も、相手企業が安全かつ正しくサービス利用ができるかどうかを常に考え、対策を講じる必要があるでしょう。こうしたお互いのセキュリティに関する意識がどこかで抜け落ちてしまうと、重大な情報漏洩につながってしまいます
設定が多すぎて管理しきれない
次に、クラウドサービスを利用するためにはさまざまな設定をする必要がありますが、そもそもその設定が複雑もしくは多すぎて管理しきれていない現状があります。
たとえば、社員一人ひとりのアカウント発行は管理からはじまり、さまざまな社内システムへのアクセス権の付与やアクセスの監視、社員のID・パスワード管理など、少し考えるだけでも煩雑な管理をする必要があります。こうした設定が多く複雑なことで、管理しきれずどこかで情報の抜け穴が発生してしまいます。
また、クラウドサービスの管理を行う社員の知識が欠けていることも理由のひとつでしょう。新たに専門のスタッフを雇うにもリソースやコストがかかり、そこまで踏み切れない企業も少なくありません。
設定ミスを防ぐための対処法
では、ここまででご紹介しました設定ミスをどのようにして防げば良いのかを見てみましょう。
専門知識を有するスタッフがいない、リソースを割けないという場合でも、すぐにできる設定ミスを防ぐ方法を3つご紹介します。
ダブルチェックの徹底
まずは、「ダブルチェックの徹底」です。
設定ミスの多くはうっかりミスであったり、確認不足によって起こったりします。そのため、一人ではなく複数人でチェックを行う「ダブルチェック」が求められます。工場内での作業でもダブルチェックが行われていますが、これは品質管理を徹底するためです。同じように、ミスを防いで情報漏洩が起こらないようにするためには、ダブルチェックが求められています。
特に、アクセス権限やクラウドストレージの設定など、不正アクセスに直結すると考えられる部分については、厳しく管理することが求められます。設定時のミスに気づかず重大な情報漏洩が起こってしまったという事例を防ぐためにも、まず初期設定の時点からダブルチェックを行うと良いでしょう。
導入前の整理
続いては「導入前の整理」についてです。
まずはSaaSを導入する「前」が重要ということを知っておきましょう。導入してからではなく、導入前に現状の課題を洗い出しておき、業務に必要ないとされる機能は取り入れない方針を立てておきます。こうすることで、導入後に必要な機能だけを利用でき、シンプルかつスムーズに利用ができるようになります。
また、導入前はもちろんですが、実際に導入した後も大切です。情報漏洩につながるような重要なアップデートを見逃さないように、常にチェックしておきましょう。
導入したものに設定項目が多いと複雑化に陥り、設定ミスや情報漏洩のリスクが高まってしまいます。自社にとって必要なものを取捨選択し不要なものは切り捨てておく、導入前にこの作業を行っておくことで、SaaS導入後にスムーズな利用が可能になります。
不要なツールを入れてしまうと、導入後に社員がどのようなツールを使って、何をしているのかが把握できなくなる恐れもあります。情報漏洩は外部だけでなく内部から起こることも多々あるため、こうした状況はあらかじめ防いでおきましょう。
ツール・システムの導入
最後に、「ツールやシステムの導入」についてです。
情報漏洩防止は多くの企業で課題となっており、各企業はさまざまな対策を講じています。その対策のひとつとして挙げられるのが、情報漏洩防止に便利なツールやシステムの導入です。
たとえば「CSPM」です。CSPMとはIaaSやPaaSの設定ミスを防ぐためのシステムで、ユーザーが安全に利用できるようにサポートしてくれるのが特徴です。データの取り扱いやクラウドの設定ミスによる情報漏洩を防ぐことができるほか、利用しているクラウドと連携して「設定の確認作業」を行ってくれます。
つまり、正しく設定できているか、またリスクの高い設定内容になっていないかをチェックしてくれるため、人の目では気づきにくいうっかりミスを防ぎ、正しい設定へと導いてくれます。
クラウドサービスも常に情報漏洩や不正アクセスなどのリスクに備え、対策を講じてアップデートし続けています。そのため、クラウドサービスを利用する側も必要に応じてメンテナンスをする必要があります。
設定の不備を防ぐためにも、ダブルチェックのほかにこうした機械的なチェックができるシステムやツールを導入しておくと、よりスムーズに、人の手を煩わせることなくリスクを軽減できるようになるでしょう。
こうしたツールやシステムの導入は、社内リソースをセキュリティにこれ以上割けないという場合にもおすすめです。安全なクラウド利用のためにも、検討してみると良いでしょう。
まとめ
クラウド利用にあたって、情報漏洩リスクを少しでも防ぐためには、すぐに実践できるダブルチェックの徹底をはじめ、正しい設定かどうかを確認できるツール・システムの導入がおすすめです。また、ユーザー設定やアクセス権限などのさまざまな項目を可視化した「Microsoft AzureとOffice365にわたる検出とレポート作成」は、Office365全体のセキュリティ確保をサポートしてくれます。情報漏洩のリスクを軽減し、企業としてできる対策を早々に講じることが社内外からの信頼度や安全性の評価につながるでしょう。
