クラウドサービスのセキュリティ対策はどのくらい「ちゃんとしていない」か：セキュリティニュースアラート

アシュアードはクラウドサービスの機能と権限設定に関する調査結果を公開した。主な調査結果としてアクセス権限変更の事前通知不足や他サービス連携機能の管理者権限設定の欠如などが明らかにされている。

[後藤大地，有限会社オングス]

　アシュアードは2024年6月11日、さまざまなクラウドサービスのセキュリティ対策の状況を調査し、その結果を公表した。管理者権限の設定やAXESS権限変更の通知状況、操作ログ有無などを分析した結果、情報漏えいのリスクが残るサービスが多数存在することが明らかになった。

クラウドサービスの設定ミスを引き起こすリスクの実態調査（出典：アシュアードのWebサイト）

54.9%のクラウドサービスがアクセス権限変更を事前通知せず

　アシュアードが公表したのは、クラウドサービスの安全性を評価するプラットフォーム「Assured」が持つ独自データに基づいて各種クラウドサービスの機能や権限に関する設定の調査結果だ。専門知識を持つセキュリティ評価チームが主要なガイドラインに基づき、クラウドサービスのセキュリティ対策を調査し、その結果をデータベースに集約したものとされている。

　主な調査結果として、54.9%のクラウドサービスがアクセス権限変更を事前通知していないことが判明した。他サービスとの連携機能を持つクラウドサービスの30.7%が管理者権限で設定できず、情報漏えいリスクが指摘されている。また、預託データの外部公開機能については22.1%が管理者権限で設定できないとされている。さらに、50.9%のクラウドサービスでサービス利用者がログイン履歴や操作ログを確認できないという問題も浮き彫りになった。これらの結果からセキュリティ対策の見直しや定期的に権限設定を確認する体制の構築が求められている。

　調査結果は次の通りだ。

• 半数以上がアクセス権限設定の仕様を変更する際に事前通知を行っていない
• 約3割が他サービスとの連携機能の使用可否を利用者の管理者権限で設定できない。他サービスとの連携は情報漏えいリスクにつながりかねないため、管理者権限での設定が推奨される
• 約2割が預託データの外部公開機能の使用可否を利用者の管理者権限で設定できない。多くのサービスで適切な対策がされているものの、リスクがあるサービスも一定存在する
• 約半数でサービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できない。インシデント発生した場合の調査や確認のためログ確認が推奨されている

　クラウドサービスの54.9%がアクセス権限の変更を事前通知していない。ゼロトラストの観点からは、SaaSのアクセス権限の変更を把握し、適宜アクセス権限の付与を見直すことが推奨されている。通知されるタイミングが遅いと検討や見直しをする猶予がないため、マニュアルなどに注意点として記載することも推奨されており、定期的な確認体制を構築することも指摘されている。

　「他サービスと連携する機能がある」と回答したクラウドサービスのうち、30.7%が他サービスとの連携機能を管理者が設定できないという調査結果も報告されている。情報漏えいを避けるには、他サービスとの連携は基本的に利用不可にすることが推奨されており、管理者が連携機能を制御できることが重要だ。

　「預託データを公開または外部ユーザーへ共有する機能がある」と回答したクラウドサービスのうち、22.1%が外部公開機能の使用可否をサービス利用者の管理者権限で設定できないことが分かった。他サービスとの連携機能同様、必要のない機能は利用できないように制限することが重要だとアシュアードは指摘している。設定ミスをゼロにすることは難しいため、リスク低減のための対策を実施することが推奨される。

　この他、50.9%のクラウドサービスで「組織内のアカウントのログイン履歴や操作ログをサービス利用者が確認できない」という結果が出ている。ログイン履歴や操作ログは設定ミスがあった時の調査や原因究明に必要な情報だが、常時履歴やログを確認できないサービスの場合、データの提供を受けるまでに時間を要する可能性がある。インシデント発生時の迅速な対応を確保するために、クラウドサービスのログ確認に関する提供手続きを事前に把握しておくことが推奨されている。