“意外と”低いクラウドサービス事業者のセキュリティガバナンス 情報漏えい対策の実態が明らかに
クラウドサービス事業者の6割以上がUSBなどの外部記憶媒体の利用をシステムで制御できておらず、約半数で社内ルール違反などの挙動監視ができていないという。クラウドサービス事業者における内部不正・過失対策の実態が明らかになる。
この記事は会員限定です。会員登録すると全てご覧いただけます。
社会全体でクラウド活用が進み、自社の営業秘密や、顧客情報等を含む個人情報をクラウドサービスに預ける機会も増える一方で、昨今、預託先(サプライチェーン)の内部不正や誤送信や設定不備といった過失により、重要情報が漏えいする事故が増加している。
そこで、セキュリティ評価プラットフォーム「Assured」を提供するAssuredは、クラウドサービス事業者における内部不正・過失対策の実態について調査を実施した。セキュリティ評価チームによる第三者評価を実施した1161件のクラウドサービスの評価情報から、内部要因の情報漏えい対策に関わる項目の回答の傾向を発表する。
※Assuredは、セキュリティ評価チームによる第三者評価と、公開情報を自動解析し、セキュリティ対策状況を推定、スコアリングしたWeb評価の2種類のセキュリティ評価を実施している。
クラウドサービス1161件のセキュリティ対策傾向実態
預託データにアクセスできなければ情報漏えいリスクを低減できるため、必要な場合に限定してアクセスを許可することは不可欠だ。従業員の預託データへのアクセスは原則禁止とし、必要な場合のみ事前承認制にすることが推奨される。
調査によると、93.1%が実施はできているものの、文書化された手続きや機能に基づき実施した上で定期的な見直しまでできているのは80.4%にとどまった。
不審なアクセスを検知するには、預託データへのアクセス・操作ログを定期的にモニタリングする必要がある。
調査によると、87.4%がモニタリングを実施できているものの、文書化された手続きや機能に基づき実施し、定期的な見直しまでできているのは71.6%であった。いずれも10事業者に1事業者が実施できていない。
データへのアクセスを事前承認制にしたり、アクセスログを取得したりした場合でも、従業員による不正な利用を完全に制御できるとは限らない。そこで、アクセス権を業務上必要な従業員のみに限定し、リスクを最低限に抑える必要がある。
クラウドサービスのコンポーネントやデータへのアクセスを業務上必要な従業員のみに限定しているのは98.2%であった。文書化された手続きや機能に基づいたアクセス制御の実施、定期的な見直しができているのは84.5%、11%が文書化や定期的な見直しをできていないことが分かった。
情報漏えい被害を防ぐため、挙動監視や不正アクセス、不正利用の監視によりいかに早く検知するかが重要だ。
多くのクラウドサービスでアクセス・操作ログの定期的なモニタリングを実施しているものの、社内ルール違反などの挙動監視を実施しているのは54.9%で、内部および外部からの不正アクセスや不正利用の監視を実施しているのは76%であった。
人手による定期的なモニタリングは限界があるため、不審な挙動をAI(人工知能)が自動検知するようなソリューションの活用が推奨される。
USBなどの持ち運び可能な外部記憶媒体を利用するのは、情報管理の観点で非常にリスクがあるが、12.1%で利用されていることが分かった。
持ち運び可能な外部記憶媒体は、利用禁止のルールを定めるだけでなく、システム上接続不可にすることが推奨されるが、設定できているのは36.9%にとどまった。外部記録媒体の利用を不可とするなら、システムで利用禁止に設定するのが有効な対策だ。
Assuredの早崎敏寛氏(セキュリティ評価専門チーム)は、「リスクを把握するために、クラウドサービスを利用する企業として以下のポイントを押さえることが重要」とコメントした。
- 利用するクラウドサービスでどのような情報を取り扱うのか把握する
- クラウドサービス事業者が情報を取り扱うのか、取り扱わない場合、契約条項によって取り扱わない旨が定められており、適切にアクセス制御しているかどうかを把握する
- クラウドサービスにおける情報流(ネットワークを介した流れだけでなく、記憶媒体の搬送も含む)を把握する
その上で、クラウドサービス事業者が、以下のような組織的、人的、技術的対策を網羅的に実施しているかどうかを確認し、リスクが許容できるかを評価することを推奨している。
- 最小特権の原則や外部記憶媒体の取り扱い、アクセス・操作ログのモニタリングなどのルール、プロセスの策定および定期的な見直し
- 情報セキュリティおよび重要情報の取り扱いに関する意識向上のための定期的な教育
- 外部記憶媒体のシステム上の利用制限、不審な挙動や不正アクセスの自動検知
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
ITmediaはアイティメディア株式会社の登録商標です。