クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く（2/2 ページ）

クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。

[高橋睦美，ITmedia]

SaaSで起きる情報漏えいを防ぐにはまずガバナンスの徹底を

　柳澤さんによれば、SaaSの設定ミスに起因する情報漏えいにはある傾向があるという。

　「会社として業務に必要な外部環境を用意していなかったため、事業部門が独自にクラウドを利用し始め、流出につながるケースが多い。ガバナンスという観点で、必要なサービスや機能はある程度会社として用意することが必要」（柳澤さん）

　中でも「会社としてどの情報を機密扱いにするのか」といった仕組みの整理が肝要という。柳澤さんは「取り扱う情報、外部に出していい情報とそうでない情報の線引きが不明瞭なままだと、事故につながる恐れがある。技術的なチェック以前に、ガバナンスを効かせることが必要」と話す。

土屋修平さん

　こういった取り組みに加え、他社との連携の都合でSaaSを導入せざるを得ない、といった事態にも注意を配る必要がある。

　「パートナーと仕事をする上で、事業部単位で使うことになったSaaSも想定されるが、そこから情報が漏れてしまうリスクもある。こういった場合でもどういった条件ならばどこまで使っていいのか、プロジェクトごとにどこまで情報を入れることを許可するのかを管理することも必要」（土屋さん）

　とはいえ、デジタルトランスフォーメーションを目指す中では、外部のサービスをまったく使わずに新たな取り組みを進めるのは事実上不可能だ。だからこそ「必要なものを会社としてきちんとコントロールし、（事業に）プラスになる方向に進めていくことが大切では」と柳澤さんは話す。

開発も責任もSIerに“丸投げ”する時代の終わり

　テレワークの普及により、クラウドサービス、特にSaaSの利用は今後ますます拡大していくだろう。こういった状況を踏まえ、柳澤さんは技術的な対策だけでなくルールの整理や社員への教育などが重要になると話す。

　例えばクラウドサービスのセキュリティについては「責任共有モデル」という考え方が前提になっていくという。これは、サービス事業者と利用者がそれぞれ自身の担うべき範囲でセキュリティ対策を実施する考え方だ。利用者が負う責任の種類はIaaS、PaaS、SaaSそれぞれの場合で異なるが、少なくともデータやIDの管理については利用者自身が責任を持って担当しなければならない。

　とはいえ、この考え方がすぐに浸透するかといえば話は別だ。柳澤さんは「日本企業の多くはこれまで、SIerに『お願い』してシステム開発や運用を一任してきた。しかし、責任共有モデルはこの考え方とは大きく異なるため、抵抗のある組織が多いように感じる」と話す。

上原孝太さん

　だからといって、今後もクラウドサービスの活用が止まるわけではない。「怖いからクラウド利用を諦めるのではなく、かといって丸投げするのでもなく、きちんと責任共有モデルを理解した上で正しく使っていく必要がある」（柳澤さん）、「せっかくクラウドという新しい仕組みが使えるようになってきたので、セキュリティ事故をなくすために自分たちも変わっていくことが必要」（上原さん）