　AWSの主力サービスとなる「Amazon Simple Storage Service」（Amazon S3）は、個人情報の保管にも使われるストレージサービスです。しかし、設定を間違えると保存している情報が外部からも見えてしまうことがあります。日本でも小売企業のクレジットカード情報流出事件や自動車メーカーの顧客情報流出事件が発生しました。

　なぜ大手企業でもAmazon S3で設定ミスを起こしてしまうのか。主な要因は「サービスの更新速度にユーザーのスキルが追い付いていない」「一般的な脆弱性チェックで設定ミスを確認できない」などが挙げられます。

　AWSのサービスは2018年だけでも2000回近くの機能追加や更新が行われました。あまりに更新が早いため、ユーザーは理解する間もなく作業することになり、ミスしやすくなってしまいます。また、Webサイト公開時に使う多くの脆弱性診断サービスにはAWSの設定を確認する機能がなく、問題を見逃してしまうケースもあります。

　これらの設定ミスによる情報流出事故などが発生した場合、責任はユーザー企業が問われることになっています。「大手のAWSだから、セキュリティ面は万全」と安心してはいけません。ユーザー企業の過失による情報漏えい対策を十分に行う必要があります。

　そこでセキュリティソフト大手・McAfeeが提案する製品が、AWSの設定確認機能を備えた「MVISION Cloud」です。同製品には、AWS特有のセキュリティリスクに関するチェック項目が100以上も用意されています。監視項目はAWSがサービスを更新するたびに追従して追加されています。

（CASB：Cloud access security broker、ユーザーとクラウドサービスとの間で利用状況を監視し、アクセス制御などのセキュリティ機能を提供するソフトウェア）

　クラウド環境に自社システムを構築する場合、適切な体制が取れているかを確認できる第三者のツールを活用することが、リスクを回避する手助けになるでしょう。

　MVISION Cloudを国内で取り扱うマクニカネットワークスでは、MVISION Cloudをはじめとするクラウド時代ならではのセキュリティ対策を考えるオンライセミナーを開催予定です。自社のセキュリティを見つめ直す第一歩として、まずは気軽に話を聞いてみてはいかがでしょうか。

マクニカネットワークスが主催するオンラインセミナー情報はこちら

ITmedia NEWS編集部の「ここがポイント」

　クラウドサービスの設定ミスによる情報漏えいは、外部から攻撃を受けて発生したインシデントに比べて事業者側の責任がより大きく問われかねません。単純なミスによって経営、ブランドに大きな損害を出す前に、セキュリティチェックが行える製品の導入による対策によって、問題の芽を早い段階でつんでおくことが事業の保護につながるはずです。