クラウドサービスが普及した今、リスクについて見直してみよう
クラウドサービスは必要な時に手軽に使えて便利だ。いまや百花繚乱。消費者向けではなく企業の業務向けのサービスも増え、業務で使う機会が増えてきた。かつては企業(システム部)が利用を認めていないものが現場の独断で普及してしまう「シャドーIT」が問題視されていたが、近年では企業の統制が進んでいる。
マカフィーの「クラウドの採用とリスクに関するレポート エンタープライズ スーパーノヴァ:データ分散編」によると、企業は世界平均で41のクラウドサービスの利用を認めており、昨年の29に比べて33%も増加した。日本では52で世界平均より高い。
生産性や効率性を考えたら、便利なクラウドサービスは積極的に活用していきたい。しかし、ここで立ち止まってみよう。データ保護の観点からリスクはないだろうか。
情報漏えい対策
情報漏えいに対する企業の責任は高まるばかりだ。情報漏えい防止(以下、DLP)のための技術や製品があるものの、調査によるとDLPを実行している企業は37%でまだ少ない。
マカフィー櫻井氏は「SaaSでDLPを実行している企業では、平均して毎月4万5,737件のインシデントを確認しています」と話す。この場合のインシデントはアラートとして記録されるもので、深刻なものから軽微なものまで幅広く含む。深刻なレベルで件数が多いものにはログイン試行がある。いわゆるブルートフォースアタック、実在するメールアドレスで手当たり次第にパスワードを入れてログインを試みる攻撃だ。軽微なインシデントではユーザーがファイルに共有設定したとか、何らかのクラウドサービスにファイルをアップロードしたとか、正規の業務活動だが念のため記録されるものだ。
先述したようにDLPを実行している企業が37%であれば、逆に言えば63%の企業はまだ実行していないことになる。そうした企業では「情報漏えいやデータ損失が起きても気づいていない可能性がある」と櫻井氏は厳しく指摘した。
個人情報など機密データの扱い
マカフィーがMcAfee MVISION Cloud(CASB)ユーザーのクラウド利用状況を分析したところ、企業の79%がマイナンバーや社会保障番号などの機密データをパブリッククラウドに保存していることがわかった。日本においては85%だ。
クラウドサービスにおける機密データが含まれるファイルの割合は年々増加しており、2018年は21%だったところ2019年では26%と増加した。とはいえ、割合が高まったからといって悪いとは言い切れない。クラウドサービスプロバイダが安全性を高める努力を重ねたことで信頼感が高まり、結果的に増加したとも言える。
気になるのがファイル共有。クラウドサービスを使う理由は「ファイルを共有したいから」が多いのではないだろうか。調査によると、最終的になんらかの形でファイルが共有されている割合が49%。そのうち、機密データが含まれる割合は12%。またクラウド内で機密データを含む共有ファイルのうち、一般公開リンクを使うものが9%。2018年の4%から、2019年では9%と倍増している。
一般公開リンクは共有したいファイルにアクセスするためのURLだ。URL自体がパスワードのようなもので、メールやメッセージなど非公開のコミュニケーションで伝えるならいいかもしれない。しかし何らかの形でこのURLが漏えいすれば、誰もが共有ファイルにアクセスできてしまう。
一般公開リンクで機密データを共有する場合には、ログインを必要とするサイトを使うなり、ファイルにパスワードをかけるなり、共有できたらすぐ削除するなど慎重に運用したほうがいいだろう。
