DX推進企業も導入、時間がかかるSaaSセキュリティ審査の「最適解」──効率化と正確性を両立する方法

クラウドサービスに起因するセキュリティインシデントが増加中

　クラウドサービスのビジネス利用が年々加速しているが、その背景には多くの日本企業が抱える「低い生産性」「IT人材不足」などの課題が存在すると大森氏は指摘する。

　「日本の労働生産性は世界的に見ても非常に低く、その底上げが課題だと長らく言われ続けてきました。また経済産業省が発表した『DXレポート』で指摘された、いわゆる『2025年の崖』の問題も深刻で、このままではIT人材不足はますます深刻化する一方だと予想されています。こうした課題を解決するための手段の一つとして、クラウドに代表される外部サービスの積極活用による生産性向上が現在多くの企業で進められています」（大森氏）

　SaaS型のクラウドサービスは、従来のオンプレミス型のシステムの場合と比べ、はるかに短期間・低コストで導入できるため、業務のデジタル化による自動化・省力化で生産性を向上させたいと考えている多くの業務現場で導入が進んでいる。

　しかも近年では企業のIT部門だけでなく、業務部門の担当者が自らクラウドサービスについてリサーチし、自分たちの業務に適したサービスの導入に直接乗り出すケースも多い。その結果、既に社内で数十から数百ものクラウドサービスが利用されている企業も珍しくなく、海外では1社当たり1,000を超えるクラウドサービスが利用されているケースもあるという。

　しかし、その一方でクラウドサービスに起因するセキュリティインシデントや情報漏えい事故も増加。たとえば、クレジットカード決済サービスへの不正アクセスによって最大46万件のクレジットカード情報が流出したり、自治体向けクラウドサービスがサイバー攻撃を受けて91万通以上もの不正メールが送信されてしまったりといったケースが実際に発生している。

　こうした事態を避けるためには、クラウドサービスを導入する前にそのサービスが十分に安全かどうかしっかり調査・検証することが重要だ。政府が出している各種ガイドラインにおいてもクラウドを導入する際のリスク評価の重要性を強調しているが、企業が実際にこれを行うのは決して容易くないと大森氏は言う。

　「クラウド事業者が提供するサービスの中身はブラックボックス化されているので、セキュリティ対策がきちんと行われているかどうか外から見てもなかなか判断できません。またリスク評価を行うにしても、そもそもどんな観点で評価すればいいのか分からないという声も多くの企業様からお聞きします」（大森氏）

セキュリティリスクの評価で欠かせない“4つの観点”

　大森氏によれば、企業が外部のクラウドサービスを利用する際には、様々な観点でのリスク評価が必要だが、特に以下の4つの観点は重点的にセキュリティリスクを評価する必要があるという。

　1つ目は「アクセス制御」。クラウドサービスはインターネットを介してユーザーからのアクセスを受け付けるため、オンプレミスのシステムと比べるとはるかにサイバー攻撃の脅威にさらされやすい。そのため、悪意のある第三者からの不正アクセスを確実に防ぐための強力なアクセス制御が必要となる。

　2つ目は「脆弱性診断」だ。対象のクラウドサービスが専門の事業者による脆弱性診断を定期的にきちんと受けているかどうかをしっかり把握する必要がある。

　3つ目の観点として「データの保管場所」にも留意したい。特に海外のクラウドサービスを利用する場合には、自社のデータがどの国・地域に保管されるかをきちんと把握しておかないと、いざというときに地政学的なリスクに阻まれて自社データに対するコントロールが効かなくなってしまう危険性もある。

　そして4つ目の観点が「外部委託先管理」。クラウドサービス事業者自身だけでなく、その事業者のサプライチェーンに連なっている取引先や関連企業のセキュリティ水準にまでしっかり目を配っておく必要がある。

　こうした観点に基づいて、世に存在する様々なクラウドサービスのセキュリティ対策状況を実際に調査してみると、対策が不十分なサービスが意外にも数多く存在することが分かるという。

　「弊社が様々なクラウドサービスを100点満点で評価したところ、約4分の1のサービスが70点未満しか獲得できませんでした。脆弱性調査を実施していないサービスが8.2％存在し、実施している企業でもアプリかインフラの片方しか実施していないサービスが28％を占めています。さらには半数以上の企業が国外でデータを保管しており、その国や地域も米国・欧州以外が多数含まれています」（大森氏）