クラウドセキュリティ、当事者はだれか?
セキュリティ対策をクラウド事業者任せにしてはいませんか?クラウドサービス利用でも、セキュリティ対策はオンプレミス同様、重要な課題です。本記事では、クラウドセキュリティの責任範囲と対策実施の施策について解説いたします。
クラウドサービスの利用状況
総務省が公開する「令和4年通信利用動向調査の結果」(令和5年5月29日公表)によれば、クラウドサービスを全社および一部でも利用している企業の割合は2022年時点で72.2%にのぼるとされています。このことから、現代では組織のクラウド活用は一般的なものとなっており、様々な業種・業態での利用が広がっていることが読み取れます。こうして普及しているクラウドですが、セキュリティには適切な注意が払われているでしょうか。クラウドサービス利用でも、セキュリティ対策はオンプレミス環境と同様かそれ以上に、重要な課題です。
クラウドセキュリティとその責任範囲
クラウドセキュリティとは、クラウド環境におけるデータやシステムを保護するためのセキュリティ対策のことを指します。クラウドサービスを提供する事業者は、セキュリティに配慮した安全な環境を提供することに注力していますが、責任共有という考えにもとづいて、クラウドで実行されるアプリケーションやデータを保護する責任は、クラウドの利用者にあるとされているのが一般的です。つまり、クラウドセキュリティにおいては、クラウドサービス事業者とクラウドサービスユーザ、双方に責任があるということになります。そしてクラウドサービス事業者の責任範囲とユーザの責任の範囲はクラウドサービスの提供形態によって変化します。詳細は以下の表のとおりです。
クラウドサービスを利用して業務を行う場合は、自組織が責任を負う設定や管理の範囲がどこまでかをよく確認し、適切にクラウドサービス事業者が提供するセキュリティサービスを設定して、利用者自身が必要なセキュリティ対策を講じる必要があります。
クラウド環境のセキュリティリスク
クラウドを利用することは、「コストの削減」「納期・システム開発期間短縮」「拡張性・柔軟性」「オンデマンドセルフサービス」「利便性や機能向上」「事業継続性」といった、多数の魅力的なメリットが存在しますが、一方で、注意するべきリスクも存在します。
リスクとして挙げられるのが、悪意ある第三者に侵入され、機密データやシステムにアクセスされる「不正アクセス」、サービス終了後に物理的アプローチによる完全なデータ消去が難しいことに起因する「情報漏洩リスク」、クラウドサービスの機能変更によって設定が変更されるなどして、低いセキュリティレベルで運用されてしまい、その結果インシデントが発生してしまう「設定ミスによるインシデント」、インシデントが発生した際に、クラウド事業者から十分な対応が受けられない「インシデント対応の不十分性」といったリスクです。こうしたリスクはクラウド固有のものではなく、オンプレミスと同様に、セキュリティに関連するリスクであり、サービスユーザが適切なセキュリティ対策を施したり、サービス提供事業者と連携したりすることで、リスク緩和を図ることが可能です。
国内のクラウドセキュリティ設定ミスによるセキュリティインシデント事例
近年、クラウドサービスのセキュリティに関する設定が十分でなかったために、意図せず、クラウドサービスで管理している機密情報を無認証状態で外部に公開してしまい、機密情報を漏洩させてしまった事例が相次いで報告されています。このように、クラウドサービスの設定ミスでセキュリティインシデントが多発している原因の一つとして考えられるのが、クラウドサービス利用を利用している企業や組織が対応すべき情報セキュリティ対策が曖昧になっていることです。前述しましたとおり、クラウドセキュリティでは、クラウドサービス事業者とクラウドサービスユーザはお互いにクラウドサービスに対する責任を共有する「責任共有モデル」を多くの場合採用しています。しかし、実際にはクラウドサービスユーザ側で、セキュリティ実施者としての当事者意識が低いというケースが散見され、そのために設定ミスによるインシデントが多発していると考えられます。
日本国内のクラウドセキュリティインシデントの報告事例(2020年12月~2023年5月)
| 時期 | 事業者 | 概要 |
| 2020年12月 | ECサイト運営会社 | セキュリティ設定不備により、不正アクセスが発生し、148万件を超える個人情報が流出した可能性あり*1 |
| 2021年1月 | ホビーメーカー | セキュリティ設定不備により、不正アクセスが発生し、約150名の顧客情報が流出した可能性あり*2 |
| 2021年2月 | ソフトウェアベンダ | 権限設定不備により、個人情報を含む2,800件超えの情報が第三者によってアクセス可能に*3 |
| 2021年8月 | 医療機関 | グループの公開設定不備により、業務メールや非公開情報が外部から閲覧可能に*4 |
| 2021年11月 | 教育サービス会社 | 自治体より委託された事業の申込フォームの設定不備により、他の申込者の個人情報が閲覧可能に*5 |
| 2022年5月 | ITサービスベンダ | アクセス設定不備により、採用に関する個人情報が6年間にわたり外部から閲覧可能に*6 |
| 2023年5月 | 自動車 ITサービスベンダ | セキュリティ設定不備により、車台番号、車両の位置情報が外部から閲覧可能に*7 |
クラウドセキュリティの対策例
では、セキュリティ対策として、どのような対策を実施すればよいのでしょうか。まず、クラウドのセキュリティではオンプレミスと同様の「基本的なセキュリティ対策」とクラウドに応じた「クラウド環境のセキュリティ対策」に分かれます。
前者の基本的なセキュリティ対策の具体的内容は、以下の図のとおりです。
前提として押さえておくべきポイントは、「クラウドサービスというものは、組織外部での利用が前提であり、環境によって管理する内容も異なるため、従来のオンプレミス環境でのセキュリティ対策に加え、クラウド環境特有のセキュリティ対策が必要となる」という点です。これを踏まえて、基本的なセキュリティ対策をおろそかにしないことが重要です。
そして、クラウド環境のセキュリティ対策については、以下の図のとおりです。
クラウドのセキュリティ対策の方法としては、クラウドサービスの設定に関わるベストプラクティス集を利用する方法があることも補足しておきます。これは各クラウドベンダから公開されているもので、日本語版も用意されています。また、CISベンチマークという第三者機関が開発したセキュリティに関するガイドラインも存在しています。ただし、これらは網羅性が高く、項目も多いため、必要な項目を探すには労力が必要となる可能性があります。
国内クラウドセキュリティガイドラインの紹介
自組織の環境の安全性をより高めていく上で、ツールやガイドラインの活用も有効です。
■クラウドサービス提供者向け
総務省
「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」
■クラウドサービス利用者・提供者向け
IPA
「中小企業の情報セキュリティ対策ガイドライン」付録6:中小企業のためのクラウドサービス安全利用の手引き」
総務省
「クラウドサービス利用・提供における適切な設定のためのガイドライン」
経済産業省
「クラウドセキュリティガイドライン 活用ガイドブック」
クラウドセキュリティの対策実施のまとめ
最後に、繰り返しとなりますが、クラウドサービスを利用する際には、クラウド事業者とクラウドユーザの双方がセキュリティ対策に取り組む必要があります。セキュリティは単なるクラウド事業者の課題ではなく、クラウドユーザ自身の重要な責務であることを認識し、適切な対策を講じることが重要です。
クラウドサービスのセキュリティ対策は、基本的な対策では従来のオンプレミス環境での対策と同様の方法です。ただし、環境によって管理する内容も異なるため、クラウド環境特有のセキュリティ対策も必要となる点に注意が必要です。クラウドセキュリティの対策のポイントとしては、ベストプラクティスにもとづいた設定の見直しと、第三者機関による定期的なセキュリティチェックを受けることです。自組織において適切な対策を実施し、セキュリティリスクを最小限に抑えましょう。
● 関連記事リンク
「押さえておきたいクラウドセキュリティ考慮事項―クラウドへ舵を切る組織のために―」
BBSecでは
BBSecでは以下のようなご支援が可能です。 お客様のご状況に合わせて最適なご提案をいたします。
クラウドセキュリティ設定診断サービス
CISベンチマークテストのほか、主要クラウド環境におけるベストプラクティスにもとづく評価や、クラウド環境上でお客様が用意されているプラットフォームの診断(オプション)も可能です。ワンストップで幅広いサービスをご利用いただけます。
<次回ウェビナー開催のお知らせ>
・2023年9月27日(木)14:00~15:00
「知っておきたいIPA『情報セキュリティ10大脅威 2023』
~セキュリティ診断による予防的コントロール~」
最新情報はこちら
Security Report TOPに戻る
TOP-更新情報に戻る
