Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

  そのクラウドサービス、本当にデータを渡しても大丈夫? マカフィーがレポートでリスクを指摘

edited by Security Online   2020/02/14 15:00

私有デバイスからのアクセス(BYOD)

 個人が所有するパソコンやスマートフォンなど、私有デバイスからクラウドサービスへのアクセスを許可している企業は79%、日本では84%。

 こうした私有デバイスに機密データをダウンロードしている割合は、世界平均で4社に1社、日本では3社に1社あるという。社員がデバイスを紛失した時、退職した時などを想定して機密データの漏えいを防ぐ方策をとっているか、確認しておきたい。

クラウドサービスにおけるデータ管理体制

 クラウドサービスといっても様々だ。企業で大々的に導入するものもあれば、些細な機能で一時的に利用するものもある。後者の例には、ファイルをアップロードすればファイル形式を変換する(PDFからWordなど)、文書を翻訳する、音声を書き起こししたテキストを出力するなどだ。マカフィーのリサーチャーがMcAfee MVISION Cloudレジストリにある3万を超えるクラウドサービスを対象に、それぞれが公開している利用規約を確認したり、直接問い合わせるなどしてデータ管理体制を調べた。

 すると、保持しているデータを暗号化しているクラウドサービスの割合はわずか9%。残り9割は暗号化されていないことになる。またクラウドサービスの87%は、ユーザーが退会などでアカウントを閉鎖してもデータを削除していないという。

 企業で利用するクラウドサービスについては保存データを暗号化しているか、データをいつまで保持しているのかを確認したほうがよさそうだ。一時的にしても機密データを渡しているのであれば特にだ。

企業内で利用しているクラウドサービス全体を管理できているか

 企業IT担当者へのアンケートによると、97%がクラウドサービスプロバイダが標準で提供しているものからサードパーティーのものまで、何らかのクラウドセキュリティ対策を実施していると回答している。何もしていないところはほぼない。

 しかし、パブリッククラウドのSaaS、PaaS、IaaS、ひいてはプライベートクラウドに至るまで、利用しているすべてのタイプのクラウドにおいて、利用しているセキュリティ管理ツールが使えると回答したのは41%。さらに自社が関わるクラウド、ネットワーク、デバイスに渡り、単一のDLPポリシーを実施できると回答したのは31%に過ぎなかった。

 櫻井氏は「これからのデータ保護はデバイスから始まり、ネットワークを介してクラウドに至るまで、一貫したポリシーでデータを追跡できることが重要です」と指摘した。



著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5