事業継続脅かす「クラウドサービス」安全性の盲点、安心活用に必要なセキュリティ評価や選び方のポイントは？

　DX推進を背景に、クラウドサービスの利用が増加している。

　総務省「令和4年通信利用動向調査報告書(企業編)」によると、2022年にクラウドサービスを「全社的に利用している」「一部の事業所または部門で利用している」と回答した企業の割合は7割を超えた。

　さらにChatGPTが話題となった2023年以降は、生成AIを組み込んだSaaSが続々と登場し、多くの企業が生成AIの業務活用を始めた。もはやクラウドサービスは企業にとって必要不可欠な存在になっていると言えるだろう。

■半数の企業がクラウドサービスのインシデントを経験

　一方で、クラウドサービスを起因とする情報漏洩などのセキュリティインシデントが、日々報告されている。

　例えば、2023年にはある社労士向けのクラウドサービスがランサムウェアに感染し、約1カ月のサービス停止に追い込まれるなど、サプライチェーン攻撃の1つの類型として社会的に大きな影響を与えた。

　クラウドサービスのリスク評価を手がけるアシュアードが、2023年に従業員数1000名以上の企業の情報システム部門300名を対象に実施した調査でも、回答企業の51.3％がクラウドサービスに起因したインシデントを経験していることがわかっている。

　具体的には、以下のようにアクセス権限の誤設定(17.7％)やサイバー攻撃(14.3％)をはじめ、さまざまなリスクが報告されている。

　近年、セキュリティリスクに対し、国内外でさまざまな規制やガイドラインが整備され、改訂が重ねられている。2023年には経済産業省の「サイバーセキュリティ経営ガイドライン」がVer3.0に改訂され、サプライチェーン全体を通じた対策の推進について、組織幹部が自らの果たすべき役割を認識したうえでリーダーシップを発揮し、さらなる対策を図ることが求められるようになった。

　まさに、セキュリティ対策は経営レベルで検討すべき事項なのである。クラウドサービスの利用に関しても、担当者任せにしていては大きな経営リスクにつながる可能性がある。

■自分たちの組織のランサム攻撃対策だけでは不十分

　では、企業がクラウドサービスを利用する際、具体的にどのような点に注意したらよいのだろうか。

　多くの企業はセキュリティチェックシートを用いて、利用するクラウドサービスのセキュリティ評価を実施しているが、評価項目は企業ごとに異なり、網羅性やトレンドに対応していないケースがある。

　例えば今年1月に発表された、情報処理推進機構(IPA)の「情報セキュリティ10大脅威2024」では、「ランサムウェアによる被害」が昨年に引き続き1位となった。

　自分たちの組織におけるランサムウェア対策は浸透しつつある一方、利用しているクラウドサービスの対策状況を確認・評価している企業はそれほど多くないだろう。先述の社労士サービスのランサムウェア被害事例のように、クラウドサービスに対するランサムウェア攻撃の影響が自社に及ぶケースに注意が必要だ。

■注意したいクラウドサービス事業者の対策実態

　そこで、アシュアードが2023年に1002件のSaaSを対象に実施したセキュリティ評価結果データから、クラウドサービス事業者のランサムウェア対策の実態と併せ、利用企業が確認すべき主な対策をお伝えする。

　まず、事業者の対策実態を紹介しよう。ランサムウェアの感染を防ぐには、利用しているネットワーク機器やOS、ソフトウェアに脆弱性を残さない対策が重要だ。

　適切なアップデートはもちろん、脆弱性診断およびペネトレーションテスト(攻撃者の視点で脆弱性から侵入を試みたときに目的達成できるか否かを検証するテスト)の実施が有効とされるが、これらの対策実施率はすべて40％以下にとどまっている。

　また、多要素認証などの認証方式を取り入れることで、悪意のある侵入を防ぐことができる。さらに、ネットワークに侵入されたとしても、ネットワーク内のドメインコントローラーや各種サーバーで適切な認証を実施することで被害の最小化が可能だ。

　しかし、こうした適切な認証方式でアクセス制限ができているのは61.9％で、約4割が実施できていない。AWS等のパブリッククラウドを利用してSaaSを提供している事業者がほとんどだが、推奨されている多要素認証(MFA)を利用していないクラウドサービスがいまだに散見される。

　ランサムウェアに感染したとしても、被害を最小限にし、早期に復旧するための対策も必要不可欠だ。

　警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によれば、バックアップからランサム被害直前の水準まで復元できたケースはわずか約20％。バックアップから正常に元の状態に復元できることを確かめるリストアテストは、とくに重要な対策と言える。

　ところが、アシュアードの調査では、バックアップ対策としてリストアテストを実施しているのは半数以下の46.2％、バックアップデータが暗号化されないように「バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存している」のは18.6％のみだった。

■クラウドサービスを利用する企業に必要な対策とは？　

　実は、十分な対策ができているクラウドサービス事業者は多くないということだ。

　そのため、クラウドサービスを利用する企業は、サービス事業者のセキュリティ対策状況を確認し、自組織のリスクアセスメントプロセスに沿ってリスク評価を実施したうえで、どこまでリスクが許容できるか検討することが推奨される。また、クラウドサービス導入後の定期的な評価を実施していない企業も多く見受けられる。

　アシュアードでは、セキュリティ専門人材が定期的に各種クラウドサービスのリスク評価を行い、その安全情報をデータベース化しているが、セキュリティ評価のスコアが初回調査から2回目以降で低下しているサービスは3割に上る。

　つまり、新規導入時は問題なしと判断した場合も、最新調査では懸念がある状態になっている可能性があり、定期的なセキュリティ評価が重要であると言える。

　さらに定期評価と併せて、利用中のクラウドサービスを台帳管理し、最新の利用状況を可視化することも有効だ。これができていない場合、利用するクラウドサービスでセキュリティインシデントが発生した際に迅速な影響調査を行うことが困難になる。

　例えば、PoC(概念実証)のため少人数でクラウドサービスを利用し、機密情報を取り扱わない条件で利用判断を行っていたのに、いつの間にか本導入され複数の部門が利用し、機密情報を取り扱うようになっていたという事例もある。

　利用用途や取り扱うデータの内容によってリスクが変わるため、最新利用状況と定期評価結果から継続利用の可否を検討することが求められる。

■情シス部門の指示だけでは社内の理解は得られにくい

　クラウドサービスの利用部門への啓蒙や指示も欠かせない。多要素認証などのセキュリティ機能を有しているクラウドサービスを選定しても、現場が利便性を優先して多要素認証を利用していないといったケースがあるからだ。

　IT・情シス部門からただ指示を出すだけでは利用部門からの理解が得られにくいため、経営者がセキュリティ重視の姿勢を社内に示したうえで、世の中のインシデント事例を活用しながら、対策の必要性やメリットについて伝えていくことが効果的である。

　クラウドサービスの利用が事業の拡大に欠かせない今となっては、その利用を控えることはできない。一方、事業リスクとなるクラウドサービスに係るセキュリティインシデントは増加していくことが想定される。

　そのため、クラウドサービスのセキュリティ評価や選定は、企業の事業継続にとって今後さらに重要な要素となっていくだろう。