クラウドの障害や情报漏えい、利用者に必要なセキュリティ対策
クラウドサービスのセキュリティインシデントは、利用者の事业に影响を及ぼす事态にもつながります。业务利用が広がるクラウドサービスの利用にあたって、セキュリティの観点でおさえておきたい事项をご绍介します。
Save to Folio
クラウドサービスで続くセキュリティインシデント
2023年6月、组织向けの给与计算支援サービスがランサムウェア攻撃を受けシステム障害を起こし、记事公开时点で10日以上にわたりサービス提供が中断し、利用者に大きな混乱をもたらしています※。组织でのクラウドサービスの利用が広がった结果、业务のクラウドサービスへの依存度も増しています。今回のケースように、提供事业者侧のシステムに障害などのトラブルが発生すれば、利用者の事业に影响を及ぼす事态にもつながります。组织がクラウドサービス利用するうえで、おさえておきたいポイントを考えます。
※
クラウドサービスは提供形態から、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)に分類されます。なかでも、ソフトウェアをクラウド上で提供するSaaSは、利用者側は特別な環境を用意することなく、ネット経由でサービスを利用できる手軽さもあり広く利用されています。SaaS形態で提供されるサービスは、代表的なものとしてマイクロソフト社のMicrosoft 365のほか、名刺管理サービスやマーケティングオートメーションサービス、人事労務サービスなど多岐にわたり、組織に広く浸透しています。冒頭の給与計算支援サービスも、SaaS形態のクラウドサービスで、約3千近い国内組織に利用されていることと公表されています。
一方で、クラウドサービスの利用が进むなか、サービス障害や情报漏えいといったクラウドサービスのトラブルも顕在化しています。以下の表は、厂补补厂形态のクラウドサービスに着目し、2023年に発生したセキュリティインシデントの一部を公表情报に基づきまとめたものです。サイバー攻撃や设定ミスによるシステム障害や情报漏えいが、サービス提供事业者、サービス利用者ともに発生していることがわかります。いずれのインシデントも、利用者、また提供事业者ともに起こり得るインシデントですが、仮に提供事业者で発生した场合、その被害はサービス利用者へ及ぶ可能性があるため事态はより深刻です。
表:クラウドサービスのセキュリティインシデント
公表情报をもとにトレンドマイクロが整理
クラウドサービス利用者、提供事业者に必要な対策
クラウドサービスのセキュリティについて、利用者、提供事业者それぞれの観点で整理します。
利用者の観点では、自组织のサービス利用やセキュリティに留意するだけではなく、クラウドサービス提供事业者侧に起因するインシデントを想定し、対応计画を用意しておくことをおすすめします。システム障害によるサービス停止に备えた事业継続计画、加えて情报漏えいの问题も考虑する必要があります。自组织の顾客情报を预けているサービスから、个人情报漏えいが発生した场合、自社顾客や个人情报保护委员会への报告义务が発生する可能性もあります※。
※
また、组织内のサービスの利用実态を把握することも重要です。手軽に导入できる厂补补厂は、事业部侧に导入や管理を一任されているケースも少なくないのではないでしょうか。管理が不适切な厂补补厂の存在はセキュリティリスクにもなり得ます。棚卸しを进め、管理者の确认やアカウント整理などのセキュリティ点検の実施、また不要なサービスの见直し行ってください。そして、サービスや提供事业者の选定基準、导入后の运用管理を定めたガイドライン整备し、定期的なセキュリティ监査を通じ、适切なサービス利用を図ってください。
クラウドサービスでは、设定ミスに起因するインシデントも多く発生しています。サービスの确认やミスを防ぐ仕组みやツールの利用を検讨ください。当然ではありますが、他の滨罢机器と同様に、サイバー攻撃のリスクもあります。サービスに関しては、アカウントの适切な管理など利用者侧の责任となるセキュリティ対策を、また组织としてもセキュリティ対策の基本を彻底し、攻撃の検知力を上げる技术の导入を検讨することをおすすめします。
サービス提供事业者においては、サービスそのものと自组织のセキュリティ対策が必要です。サービスの设定ミスだけではなく、サイバー攻撃によってもサービス停止や情报漏えいといったセキュリティインシデントが起こり得ること、结果、サービス利用者も被害を受けることから、セキュリティを事业リスクとして捉え、対策を讲じる必要があります。
顿齿などデジタル化の进展により、サイバー攻撃の标的となる领域、つまり攻撃対象领域(アタックサーフェス)が拡大しています。自组织の攻撃対象领域を把握したうえで、「Cyber Risk Exposure Management(CREM)」のアプローチを活用し、优先的にリスクコントロールを施すべき箇所を定量的に判断することで、効率的にセキュリティ対策を进めることができます。
<クラウドサービス利用者>
?组织的対策
?クラウドサービスや事业者の选定基準、运用管理のガイドライン整备
?组织内のクラウドサービスの棚卸しによる管理者や利用状况の把握
?クラウドサービス导入后の定期的なセキュリティ监査
?クラウドサービス障害时の対応プランの整备(自组织起因にくわえ、サービス提供事业者者起因で発生する障害によるサービス提供停止やサービス経由での情报漏えいなどへの备えも)
?技术的対策
?利用するクラウドサービスと自组织における基本的なセキュリティ対策の彻底
?利用するクラウドサービスは、事业者と自组织の责任范囲を确认し、适切なセキュリティ対策を行う
?组织においては、脆弱性対策、アカウント情报の适切な管理、多要素认証の利用、适切なデータバックアップなど基本的な事项を彻底する
?贰顿搁や齿顿搁によるサイバー攻撃への検知力向上
<クラウドサービス提供事业者>
?サービスのセキュリティ强化
?开発におけるセキュリティ?バイ?デザインの导入
?脆弱性対策、人為的な设定ミスを防ぐ仕组みやツールの导入
?自组织のセキュリティ対策
?基本的なセキュリティ対策の彻底
?贰顿搁や齿顿搁によるサイバー攻撃への検知力向上
