ITmedia NEWS > セキュリティ >
コラム
» 2020年02月05日 13時53分 公開

クラウドサービスを「あれもこれも」と使いすぎると危険? 識者が説くセキュリティ対策の落とし穴

マカフィーがクラウドサービスの利用状況に関する調査結果を発表。企業が正式導入しているクラウドサービス(IaaS、PaaS、SaaS)の平均は計41個だと分かった。利用しているサービスが増えすぎ把握しきれていないとの危機感を持つ企業は20%だった。

[濱口翔太郎,ITmedia]

 クラウドサービスの普及は、企業の業務を効率化した反面、セキュリティ対策を難しくしたのかもしれない――。マカフィーは2月4日、クラウド利用の課題を浮き彫りにする調査結果を発表した。

 調査では、日本・シンガポール・オーストラリアなど11カ国で働く計1000人のIT担当者を対象に、勤務先のクラウド利用とセキュリティ対策の状況について聞いた。

 その結果、企業が正式導入しているクラウドサービス(IaaS、PaaS、SaaS)の平均数は計41個だった。パブリッククラウド上に機密データを置いている企業は79%、個人デバイスからクラウドサービスへのアクセスを認めている企業も79%だった。

photo マカフィーの櫻井秀光氏(セールスエンジニア本部 本部長)

 BYODの導入などにより、クラウド上にある機密データを個人デバイスにダウンロードできる企業は25%。「自社のクラウド上のデータへの可視性を欠いている(増えすぎたため把握しきれていない)」との危機感を持つ企業は20%だった。

 これらの結果に対し、マカフィーの櫻井秀光氏(セールスエンジニア本部 本部長)は「多くの企業が別々のプロバイダーの管理下に機密性の高いデータを分散させているが、一貫したデータ保護を行っていない状況がうかがえる」と指摘。

 データの格納先が増えたり、個人デバイスへのダウンロードが多くなったりすると、攻撃・漏えいのリスクが高まるため、「今後はハード面だけでなく、経路や格納先も含め、統合的なセキュリティポリシーの設定が必要だ」(櫻井氏)と説明した。

シャドーITの楽観視は危険

 一方、企業が正式導入したクラウドサービスだけが使われているとは限らない。非公式なシャドーITも含めると、企業内で利用されているツールはより多く、データの保管場所がさらに広範囲にわたっていることが懸念される。

 そこでマカフィーは、調査対象者がシャドーITとして使っているクラウドサービスをまとめ、その安全性を確認した。

 その結果、提供元が保持しているデータを暗号化しているサービスは9%にとどまっていた。ユーザーがアカウントを削除した後もデータを削除せず、提供元のマーケティングなどに利用するツールは87%に上った。

 また、過去にデータ流出を起こした“前科”のあるクラウドサービスをシャドーITとして使い続けている企業は52%だった。

photo マカフィーによる調査結果

 櫻井氏は「国内における『宅ふぁいる便』のように、シャドーITとして多く使われていたクラウドサービスから情報が漏れることもある。また昨今は、PDFファイルをWordやExcelに変換したり、読み込ませたドキュメントを翻訳したりできるSaaSが出回っているが、これらはアップロードした情報を搾取している可能性がある」と説明。企業は社員がリスクあるサービスを使わないよう、利用制限などの管理を徹底すべきだと主張した。

 調査では、セキュリティ担当者の55%が「シャドーITはデータ保護に悪影響を及ぼさない」と楽観視していることが判明した。企業のCISO(最高情報セキュリティ責任者)の7%、ネットワークセキュリティマネジャーの20%が、「データ流出の責任は、自社ではなくクラウドプロバイダー側にある」と考えていることも分かった。

 櫻井氏は「組織内の認識のずれが、データ損失リスクにつながる可能性がある」と警鐘を鳴らし、上層部の間で見解を統一すべきだと提案。「(シャドーITではなく)きちんと監査をした上で、最適なクラウドサービスを選ぶべきだ」と強調した。

Copyright © ITmedia, Inc. All Rights Reserved.