“野良SaaS”放置が招く3つのリスク 危険性はセキュリティ以外にも 専門家に聞く基礎知識(1/3 ページ)
IT部門や経営層などが利用状況を管理しきれていない“野良SaaS”。放置していると、セキュリティやコストなど3種類のリスクにつながるという。野良SaaSが抱える危険性や対策の基礎知識を専門家に聞く。
企業によるクラウドサービスの利用が一般的になる中、導入しやすさが特徴のSaaSは業務部門でも利用が進んでいる。一方でその導入しやすさが仇になり、使っているSaaSの数が膨大になった結果、IT部門や経営層などが利用状況を管理しきれていない“野良SaaS”が生まれ、セキュリティ事故などにつながる例も見られる。
例えばエイチームでは、クラウドサービスの設定ミスにより、採用イベントに参加した人などの個人情報5857人分が、最長で6年の間外部から閲覧可能になっていたと5月に報告していた。原因は、社員が会社の管理下にないクラウドサービスを使っており、アクセス権限を管理できていなかったことにあったという。
管理が行き届かない野良SaaSの脅威は他にもある。専門家によれば、野良SaaSの放置が招くリスクは、セキュリティを含め3種類あるという。
企業の正しいIT資産管理を支援する一般社団法人、IT資産管理評価認定協会(SAMAC)の篠田仁太郎常務理事と、同協会の「クラウドサービス管理ワーキンググループ」でリーダーを務める金井孝三さんに聞く。
特集:社内に潜む“野良SaaS”の脅威 クラウドツールの正しいまとめ方
企業のクラウド活用が一般的になり、業務部門でも導入しやすいSaaSの利用が増えている。一方、その導入しやすさが災いし、IT部門が利用実態を把握できていない「野良SaaS」が生まれるリスクも増大している。本特集では、野良SaaSが抱えるセキュリティリスクや、SaaSの正しい管理方法について発信する。
情報漏えいや設定ミスが防げないセキュリティのリスク
1つ目は、エイチームの事例のようなセキュリティ事故のリスクだ。IT部門などの管理下にないことから、設定ミスを検出できず、情報漏えいの可能性を検知できないなどの問題につながり得るという。
有事の際に、ログなどを追いにくいリスクもある。仮にSaaSに起因するセキュリティ事故があったとき、ログが残っていれば原因などを追跡できる場合がある。しかし、その事故が野良SaaSに起因する場合、契約者がログの適切な管理をしておらず、証跡を追えない可能性がある。
「例えば基本プランでは3カ月までログを保存でき、それ以上は追加料金が必要なSaaSがあったとする。業務部門の人はまさか事件が起こると思わないので、契約をしない可能性が高く、有事にログが追えなくなる。IT部門が関わっていれば『RPAを活用し、3カ月に1回ログを保存しておく』といった対応もできるが、現場ではまず行われない」(金井さん)
契約後に使われなくなったSaaSのアカウントもセキュリティ上のリスクになり得る。例えば退職者のアカウントなどは基本的に、定期的に削除したり、契約を解除したりしていればセキュリティ上のリスクは少ない。
しかしIT部門などが詳細を知らない場合、アカウントが放置されているかもしれない。その場合、元社員などが企業の情報を確認できたり、外部から盗んだIDとパスワードで不正ログインを試みる「リスト型攻撃」の標的になったりする可能性があるという。
関連記事
- 「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。 - クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。 - クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。 - クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。 - Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く
「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.