IPA「情報セキュリティ白書2024」から読み解くクラウドセキュリティの今：セキュリティニュースアラート

アシュアードはIPAが刊行した「情報セキュリティ白書2024」を解説するコラムを公開した。特にクラウドセキュリティに焦点を当てており、クラウドサービスにおけるインシデント事例の主な原因などをまとめている。

[後藤大地，有限会社オングス]

　アシュアードは2024年7月31日、情報処理推進機構（IPA）から刊行された「情報セキュリティ白書2024」を解説するコラムを公開した。情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態などを網羅的にまとめたもので、アシュアードはその中でも「クラウドのセキュリティ」のトピックについて考察している。

クラウドサービスのインシデント事例　ありがちな原因3パターン

　取り上げられている主なトピックは以下の通りだ。

• クラウドサービスの利用状況：　SaaSを導入している企業が6割を超え、クラウドサービスの利用が定着しつつある
• クラウドサービスにおけるインシデント事例：　「（利用者側の）設定ミス」「サイバー攻撃」「広域インフラ障害」などが原因でクラウドサービスにおいてインシデントが発生している
• クラウドサービスのセキュリティの課題と対策：　有効な対策として「パスキー認証の導入・活用」や「事業者側のクラウドセキュリティ基準への準拠」が挙げられている

　情報セキュリティ白書2024では、2023年度においてSaaSを導入した企業は6割を超え、そのうち8割以上の企業が導入効果を実感していることが報告されている。一方でクラウドサービスに関連したセキュリティインシデントも増加している。白書では設定ミスやサイバー攻撃、広域インフラ障害による具体的な事例が紹介されている。

　解説ではSaaSやIaaS、PaaSの設定ミスによるインシデントが頻発していることに焦点が当てられている。アシュアードの調査によると、アクセス権限設定の変更時に事前通知がされていないケースが多いことが明らかにされている。

　サイバー攻撃については、ランサムウェア攻撃やサプライチェーン経由の攻撃が取り上げられている。アシュアードが実施したクラウドサービス事業者のランサムウェア対策実態調査では、ランサムウェア対策としてのウイルス対策ソフトの導入率は約3割にとどまっており、バックアップのリストアテストを実施している企業は半数以下にとどまっているという。

　サプライチェーン管理の実態調査では約6割が開発や保守・運用業務を外部委託する中、そのうち約2割は委託先と「セキュリティ対策」や「情報の削除」を合意していないことも明らかにされている。

　クラウドサービスの利用に伴うリスクを低減するために、利用者および事業者側での適切な対策も求められている。パスキー認証（スマートフォンなどを利用した生体認証）はクラウドサービス利用者と事業者の双方にとって重要な認証強化手段とされており、クラウドセキュリティ標準への準拠、特に「ISO27001」や「ISO27017」「SOC2」などの基準に従うことも重要視されている。

　アシュアードの植木雄哉氏（セキュリティドメインエキスパート）は、クラウドサービスの利用が進む中で利用者が正しくリスクを把握し、適切な設定を適用することの重要性を強調している。基本的なセキュリティ対策を徹底することでセキュリティインシデントの発生リスクを低減できるとしている。