「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

Dx時代で考えるべきクラウドセキュリティとは?
~クラウド設定ミス編~ クラウドCASB

2021年10月11日

はじめに

2021年8月27日に開催されました「ビジネス+IT Webセミナー セキュリティマネジメントカンファレンス 2021 夏」に、当社セキュリティ事業部の熊坂が登壇しました。

クラウドサービス活用が主流となっている昨今の情勢を踏まえ、企業で利用が許可されているクラウドと許可されていないクラウドの両面から、その対策方法を経験豊富な講演者が運用例を交えて講演しました。

その講演内容をコラムとして配信します。
本内容が、クラウドサービスにおけるセキュリティ対策にお悩みの方のお役に立てば幸いです。

利用が加速するクラウドサービスにおいて、クラウド利用は把握できているものの、細部のセキュリティ設定まで確認しきれていない方も多いのではないでしょうか。
クラウドだから簡単にスピーディに使い始めることができますが、自社の内製運用だけでカバーしきれない場合が出てきており、まさにそれはクラウドセキュリティ対策が顕著にあらわれていると考えます。

クラウド利用の実態

DX(Digital Transformation)やテレワークが企業に求められる中、急遽クラウドサービスを導入するケースが増えてきており、管理が乱雑になってしまっているケースが多いのではないでしょうか。
とある会社では、DXの名のもとにSalesforceがさまざまな部門で導入・乱立され、設計書などの重要なデータもBOXなどのクラウドサービスでどんどんやりとりされている、中には聞いたことも無いような危険なクラウドもシャドーITとして利用されている場合があります。
昨今では、このような企業が散見されています。

皆さまの会社ではいかがでしょうか。
今は「1つのテナントしかないし・・」「2種類しか使用していないし・・」と油断しているかもしれませんが、急速にクラウドが立ち上がっていき、すぐに管理しきれなくなっていきます。
その上、セキュリティ設定の細かい内容まで把握や確認が追いつかない状況に陥っていきます。

クラウド利用における階層構造

いざセキュアにクラウドサービスを活用しよう、と思ってもアクセス制限や認証方式、データの公開範囲など考慮すべき点が多く、何から手を付ければよいか判断に迷うかと思います。
そこで、京セラコミュニケーションシステムでは企業で活用されているクラウドサービスを利用状況ごとに3つの階層に分類し、階層ごとにセキュリティを考えています。
最近のクラウドサービスのインシデント事例を見ても、以下のいずれかの層に入ってくるケースがほとんどです。

第1層は、企業として利用状況が適切に管理されているクラウドサービスです。
例えば、ビジネスの基盤となるGoogleワークスペースやMicrosoft365などが当てはまるケースが多いです。

第2層は、企業として使用を許可しているものの、事業部門毎に勝手に契約することで、乱立してしまい、結果として管理が漏れてしまいがちなクラウドサービスです。
例えば、Boxのような機能特化型のSaaSや、AWSをはじめとしたIaaSなどがあげられます。

第3層は、企業として使用を許可していない、もしくは推奨していないクラウドサービスです。
例えば、データを持ち出すためのストレージサービスや、会社として利用するうえで相応しくないSNSなどさまざまなクラウドサービスがあげられます。

各企業でそれぞれ当てはまる層のクラウドサービスは変わってきますので、まずは自社の利用しているクラウドサービスは何があり、どの階層にあたるのかを整理する必要があります。
本コラムでは企業内で利用状況が管理されている、第1層のクラウドサービスついて考察します。

※第2層、第3層はこちらのコラムを参照

Dx時代で考えるべきクラウドセキュリティとは?~クラウド利用可視化と制御編~

インシデントが絶えないクラウドサービス

第1層は企業として利用状況が適切に管理されているクラウドサービスになります。
どのようなクラウドサービスなのか例をあげると、ビジネスの基盤となるグループウェア(GoogleワークスペースやMicrosoft365など)が当てはまるケースが多いです。

クラウドサービス利用時における責任共有モデルは、よく耳にされるかと思います。
クラウド事業者と利用者の責任分担の考え方ですが、セキュリティ設定は「クラウド事業者に任せれば安心」というものではありません。
クラウドサービス上にセキュリティ機能を備えた設定を準備するのはクラウド事業者になりますが、その機能を正しく設定し、維持し続けることは利用者の責任となります。

そして残念なことに、セキュリティ設定の不備により情報が漏えいしてしまったという事故が、2017年頃から多発してます。
それは利用者が考慮しなければならないセキュリティ設定が不十分であったことが原因です。

クラウドのメリットが引き金になるセキュリティリスク

なぜこのようなセキュリティ事故が多発してしまうのでしょうか。

クラウドサービスは最先端の技術が利用できる一方で、サービス毎にどんどん拡張・変更されます。
この仕様変更追いつけず、利用者はセキュリティ設定まで気が回らなくなることが散見されます。
また、デバイス・ロケーションを問わず柔軟に利用することが可能となる一方で、共有設定や権限設定を誤ると関係者外まで情報が公開される恐れがあります。

例えば、とある企業では、クラウドの仕様変更や買収による絶え間ない機能の大幅追加により、安定稼働やトラブル対応をメインで行っており、とてもセキュリティまで手が回らない状態でした。
そのような企業ではクラウドの設定が初期状態のままであり、IPアドレスの制御やパスワード設定、多要素認証といった基本的なセキュリティ設定も実施されていませんでした。

クラウドセキュリティ診断の効果

このような設定ミスによる情報漏えい事故を防ぐため、クラウドサービスのセキュリティ上の設定ミスがないか確認する「クラウドセキュリティ診断」がサービスとして存在します。

京セラコミュニケーションシステムでは、AWSやAzureといったIaaS側から診断サービスをリリースしておりますが、2020年になってMicrosoft365をはじめZoomやSalesforceなど各種SaaSにも対応したサービスとなっています。
クラウドセキュリティ診断専門のエンジニアが、この変化の激しいクラウドの機能や仕様変更、セキュリティトレンドをいち早くつかみサービスに反映し続けています。

まとめ

第1層の「企業として利用状況が適切に管理されているクラウドサービス」に対しては、利用者側の意図したセキュリティ設定になっていることを抜け漏れなく把握するためにクラウドセキュリティ診断サービスをご紹介しています。

また、クラウドサービスは頻繁な機能追加や管理者の変更などによりセキュリティ設定項目が目まぐるしく変化するため、定期的にクラウドセキュリティ診断を実施いただくことを推奨しています。

本コラムを見て、自社で活用しているクラウドサービスのセキュリティ設定に対して不安に思うことなどがありましたら、気軽にお問い合わせいただければ幸いです。

関連サービス/ソリューション

京セラコミュニケーションシステム株式会社
クラウドセキュリティチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ