クラウドサービスを「あれもこれも」と使いすぎると危険? 識者が説くセキュリティ対策の落とし穴
マカフィーがクラウドサービスの利用状況に関する調査結果を発表。企業が正式導入しているクラウドサービス(IaaS、PaaS、SaaS)の平均は計41個だと分かった。利用しているサービスが増えすぎ把握しきれていないとの危機感を持つ企業は20%だった。
クラウドサービスの普及は、企業の業務を効率化した反面、セキュリティ対策を難しくしたのかもしれない――。マカフィーは2月4日、クラウド利用の課題を浮き彫りにする調査結果を発表した。
調査では、日本・シンガポール・オーストラリアなど11カ国で働く計1000人のIT担当者を対象に、勤務先のクラウド利用とセキュリティ対策の状況について聞いた。
その結果、企業が正式導入しているクラウドサービス(IaaS、PaaS、SaaS)の平均数は計41個だった。パブリッククラウド上に機密データを置いている企業は79%、個人デバイスからクラウドサービスへのアクセスを認めている企業も79%だった。
BYODの導入などにより、クラウド上にある機密データを個人デバイスにダウンロードできる企業は25%。「自社のクラウド上のデータへの可視性を欠いている(増えすぎたため把握しきれていない)」との危機感を持つ企業は20%だった。
これらの結果に対し、マカフィーの櫻井秀光氏(セールスエンジニア本部 本部長)は「多くの企業が別々のプロバイダーの管理下に機密性の高いデータを分散させているが、一貫したデータ保護を行っていない状況がうかがえる」と指摘。
データの格納先が増えたり、個人デバイスへのダウンロードが多くなったりすると、攻撃・漏えいのリスクが高まるため、「今後はハード面だけでなく、経路や格納先も含め、統合的なセキュリティポリシーの設定が必要だ」(櫻井氏)と説明した。
シャドーITの楽観視は危険
一方、企業が正式導入したクラウドサービスだけが使われているとは限らない。非公式なシャドーITも含めると、企業内で利用されているツールはより多く、データの保管場所がさらに広範囲にわたっていることが懸念される。
そこでマカフィーは、調査対象者がシャドーITとして使っているクラウドサービスをまとめ、その安全性を確認した。
その結果、提供元が保持しているデータを暗号化しているサービスは9%にとどまっていた。ユーザーがアカウントを削除した後もデータを削除せず、提供元のマーケティングなどに利用するツールは87%に上った。
また、過去にデータ流出を起こした“前科”のあるクラウドサービスをシャドーITとして使い続けている企業は52%だった。
櫻井氏は「国内における『宅ふぁいる便』のように、シャドーITとして多く使われていたクラウドサービスから情報が漏れることもある。また昨今は、PDFファイルをWordやExcelに変換したり、読み込ませたドキュメントを翻訳したりできるSaaSが出回っているが、これらはアップロードした情報を搾取している可能性がある」と説明。企業は社員がリスクあるサービスを使わないよう、利用制限などの管理を徹底すべきだと主張した。
調査では、セキュリティ担当者の55%が「シャドーITはデータ保護に悪影響を及ぼさない」と楽観視していることが判明した。企業のCISO(最高情報セキュリティ責任者)の7%、ネットワークセキュリティマネジャーの20%が、「データ流出の責任は、自社ではなくクラウドプロバイダー側にある」と考えていることも分かった。
櫻井氏は「組織内の認識のずれが、データ損失リスクにつながる可能性がある」と警鐘を鳴らし、上層部の間で見解を統一すべきだと提案。「(シャドーITではなく)きちんと監査をした上で、最適なクラウドサービスを選ぶべきだ」と強調した。
関連記事
- 「クラウドは信頼できない」は本当か? AWS、Office 365、自治体IaaSの障害を経て、私たちが知っておくべきこと
2019年は国内外で、大規模なクラウドサービスの障害が相次いで発生した。それに伴い、「クラウドサービスは信頼できないのでは」といった議論も巻き起こった。だが、オンプレミスにも課題はある。メリットとデメリットを認識した上で、クラウドとうまく付き合っていくべきだろう。そのために必要な基礎知識と考え方を、ITジャーナリストの谷川耕一氏が解説する。 - “5G前夜”、IoT機器への攻撃に備えよ 対策の鍵は「自動化」と「ゼロトラスト」
「5Gのロールアウトに伴ってつながるIoTデバイスの数は劇的に増加し、それがセキュリティ上の弱い鎖になり得る」──イスラエルのセキュリティ企業、チェック・ポイントが警鐘を鳴らしている。対策の鍵は? - 情報漏えい発生の「宅ふぁいる便」、3月末で終了 システム再構築に要する時間・費用を考慮
大容量ファイル送信サービス「宅ふぁいる便」が3月31日に終了する。不正アクセス被害を受け、「相当程度システムの再構築が必要」と判断。再構築に要する時間・費用などを考慮した結果、終了を決めたという。 - なぜ、宅ふぁいる便は「暗号化」していなかったのか
「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。
Copyright © ITmedia, Inc. All Rights Reserved.