後を絶たない「クラウドサービスの設定ミス」による情報漏洩、導入時は「サービス提供側の営業戦略」にも注意

　生成AIが注目を集める中、企業の利用がさらに拡大しているクラウドサービス。一方、普及に伴い「設定ミス」も報道される機会が増えてきた。

　クラウドサービスの設定ミスが注目され始めたのは、2016年頃。当初はIaaS(Infrastructure as a Service)におけるクラウドストレージの権限設定ミスが多かった。アメリカの陸軍や国家安全保障局といった機密情報を扱う組織も、AWSの設定ミスによる情報漏洩を発生させていた。

　日本で大きな注目を集めるきっかけとなったのは、2020年に発覚した、セールスフォースの設定ミスによる複数企業の情報漏洩だろう。内閣サイバーセキュリティセンターが「Salesforce」の製品名を挙げて利用企業に注意喚起を促すほどの事態となった。

■次々と追加される新機能に潜むリスク

　しかしなぜ、クラウドサービスの設定ミスは起きてしまうのか。

　筆者は、次の3点が主な原因になっていると推測している。

1:「新機能や新技術の追加に伴うリスク」に対する認識の欠如

2:「社内チェック機構」の機能不全
3:「セキュリティの点検方法」がわからない
　1つ目は、「新機能や新技術の追加に伴うリスク」に対する認識の欠如だ。

　クラウドサービスの利点の1つに、ニーズのある機能が次々に追加されるといった点がある。クラウドサービスにおいて「進化」はとても重要な競争力であり、この市場をリードするAWSは、2020年に2757回のリリースを実行している。

　しかし、年間約3000回も行われる「進化」を、利用企業が人間のチェックだけですべて把握して正しい設定を行うことは、もはや不可能と言っていいだろう。

　新機能や新技術が登場した時点では「追加に伴うリスクは何なのか」を判断する材料がない。そのため、リスクが認識できないまま不適切な設定が放置されやすく、ある日突然、情報漏洩などが発覚して「設定ミス」が露見するのである。

■サービス提供側の営業戦略で起きる設定ミスも

　2つ目の設定ミスの原因としては、「社内チェック機構」の機能不全が挙げられる。実は、サービス提供事業者の営業戦略によって、企業の中で適切なセキュリティ検討が行われることなく新しいサービスが社内に導入され、後日設定ミスが発覚するというのはよく目にする光景だ。

　例えば、企業全体での利用が見込まれるオフィス系のサービスや営業管理系のサービスの場合、営業側は企業の経営幹部を狙う「トップダウン営業」をよく使い、なるべく早く契約を締結しようと、営業先のセキュリティ部隊等が提案に関与しないように誘導する。営業先でセキュリティの検討が始まってしまうと、サービス導入が遅れる、あるいはセキュリティリスクを理由に契約しないといったケースもあるからだ。

　仮に営業先のセキュリティ部隊が関与できたとしても、「社長肝入りのDX案件」などと言われてしまうと、セキュリティ部隊は批判を恐れて、本来実施しなければならないセキュリティ検討項目のいくつかに目をつむってしまうこともある。

　一方、従業員同士のコミュニケーションツールやクラウドストレージといったサービスの場合は、従業員から徐々に浸透させる「ボトムアップ営業」が用いられることもある。

　この場合、従業員が無料プランなどを利用して勝手に使い始めてしまい、情報システム部門が存在を認知していない「シャドーIT化」するリスクがある。つまり、どのような設定をしているかについて、企業の責任ある立場の人間が誰も把握していないという危険な状況になってしまう。

　3つ目の設定ミスの原因は、「セキュリティの点検方法」がわからないというものだ。

　真面目に設定ミスがないかを確認しようと思ったときに「何を確認すればよいのか」という課題にぶつかることも多い。総務省やIPAからもガイドラインが公開されているが、セキュリティ専任者がいない中小企業などからは、「ガイドラインを参考にできるほど人も運用体制も整っていない」という声が聞こえてくる。

■設定ミスを防ぐ「3つの対策」とは？　

　では、「設定ミス」を抑制するには、どのような対策が検討できるだろうか。筆者は下記の3点を挙げる。

1:自社のクラウドサービスの「利用状況を可視化」
2:自社の「認可クラウドサービス」を特定
3:「人」の問題にせず「ツール」を導入
　1つ目は、自社のクラウドサービスの「利用状況を可視化」すること。まず取りかかるべきは、全体像の把握だ。全体像を把握しないまま自分たちが認識できているクラウドサービスだけを重点的にチェックしたとしても、ほかのサービスに設定ミスがあれば、情報はそこから漏れ出してしまう。

　自社の利用状況を可視化できると、その数に圧倒されるだろう。クラウドセキュリティサービスを提供するNetskopeの調査によれば、企業が利用しているクラウドサービスは、1社当たりおよそ2400個に上るという。大半がGoogle AdSenseなどの広告系サービスやSNSサービスだが、クラウドストレージやチャットサービスといった深刻な情報漏洩につながるサービスが20～50個程度検出されるのは珍しくない。

　2つ目に大切なのが、自社の「認可クラウドサービス」の特定だ。設定ミスが重大な事故へとつながるクラウドサービスを特定し、それを「認可クラウド」として定義して、IPAや総務省等が公開しているガイドラインを参照し重点的にチェックしたい。

　それ以外の「非認可クラウドサービス」については、重要情報を扱わないこと。あるいは、CASB(Cloud Access Security Broker)などの技術を利用して、機密情報のアップロードや共有制限を行うなど、万が一設定ミスが発生しても大きな事故に発展しないよう予防策を仕掛けておくとよいだろう。

　3つ目に重要なのは、「人」の問題にしないこと。経営層は「専任の担当者をつけ、十分にチェックすればクラウドの設定ミスくらいは防げるだろう」と考えているかもしれない。

　しかし、セキュリティ専門企業のLACや、AWSのスペシャリスト集団であるクラスメソッドでさえ設定ミスによるトラブルが報道されている。専門家を抱える組織でもミスは起きるものであり、人による管理では十分ではないと考えを改めることが重要だ。

　そして、クラウドの設定ミスを検出、予防するためのセキュリティソリューションを活用したい。例えば最近では、IaaSの設定ミスを対象とした「CSPM(Cloud Security Posture Management)」、SaaS(Software as a Service)の設定ミスを対象とした「SSPM(SaaS Security Posture Management)」を導入する企業が増加傾向にある。ツール導入はクラウド時代に必要なコストと考え、CSPMやSSPMの採用を検討することを推奨したい。

■「CSPMやSSPMの設定ミス」に注意

　最後に1つ、これから問題視されるであろう「設定ミス」について触れておこう。それは、CSPMやSSPMの設定ミスだ。

　現状、CSPMやSSPMの活用方法が普及していると言えず、「どうやって使えばよいかわからない」という悩みを抱えている企業が多いのではないだろうか。おそらくそのほとんどが、自社にとってのリスクを正しく認識しないまま導入してしまったケースだと思われる。

　例えば、経営層から「クラウドサービスの設定ミスに対する対策はできているか」と相談を持ちかけられ、ベンダーからCSPMやSSPMの情報を取り寄せる。そして、ベンダーが提示してきた比較表を見て、「対象アプリケーション数やルール数が一番多い」という単純な理由で導入が進んでしまうケースが散見される。

　このように、CSPMやSSPMの導入が目的となってしまっているケースにおいては、事前定義された設定ミスの検知ルールをデフォルトのまま有効化し、月1000件を超えるアラートが発生して呆然とする事態になるだろう。ひどいケースでは、「毎日アラートが出ているが、とくに異常はない」とし、アラートを無視するのが当たり前になってしまう。

　こうした事態に陥らないためにも、CSPMやSSPMを検討する場合には、自社にとってのリスクや対処の必要なリスクについて共に考えてくれるベンダーの姿勢も、評価対象とすることをお勧めする。