クラウドサービスに起因するセキュリティインシデントが増加中
クラウドサービスのビジネス利用が年々加速しているが、その背景には多くの日本企業が抱える「低い生産性」「IT人材不足」などの課題が存在すると大森氏は指摘する。
「日本の労働生産性は世界的に見ても非常に低く、その底上げが課題だと長らく言われ続けてきました。また経済産業省が発表した『DXレポート』で指摘された、いわゆる『2025年の崖』の問題も深刻で、このままではIT人材不足はますます深刻化する一方だと予想されています。こうした課題を解決するための手段の一つとして、クラウドに代表される外部サービスの積極活用による生産性向上が現在多くの企業で進められています」(大森氏)
SaaS型のクラウドサービスは、従来のオンプレミス型のシステムの場合と比べ、はるかに短期間・低コストで導入できるため、業務のデジタル化による自動化・省力化で生産性を向上させたいと考えている多くの業務現場で導入が進んでいる。
しかも近年では企業のIT部門だけでなく、業務部門の担当者が自らクラウドサービスについてリサーチし、自分たちの業務に適したサービスの導入に直接乗り出すケースも多い。その結果、既に社内で数十から数百ものクラウドサービスが利用されている企業も珍しくなく、海外では1社当たり1,000を超えるクラウドサービスが利用されているケースもあるという。
しかし、その一方でクラウドサービスに起因するセキュリティインシデントや情報漏えい事故も増加。たとえば、クレジットカード決済サービスへの不正アクセスによって最大46万件のクレジットカード情報が流出したり、自治体向けクラウドサービスがサイバー攻撃を受けて91万通以上もの不正メールが送信されてしまったりといったケースが実際に発生している。
こうした事態を避けるためには、クラウドサービスを導入する前にそのサービスが十分に安全かどうかしっかり調査・検証することが重要だ。政府が出している各種ガイドラインにおいてもクラウドを導入する際のリスク評価の重要性を強調しているが、企業が実際にこれを行うのは決して容易くないと大森氏は言う。
「クラウド事業者が提供するサービスの中身はブラックボックス化されているので、セキュリティ対策がきちんと行われているかどうか外から見てもなかなか判断できません。またリスク評価を行うにしても、そもそもどんな観点で評価すればいいのか分からないという声も多くの企業様からお聞きします」(大森氏)
セキュリティリスクの評価で欠かせない“4つの観点”
大森氏によれば、企業が外部のクラウドサービスを利用する際には、様々な観点でのリスク評価が必要だが、特に以下の4つの観点は重点的にセキュリティリスクを評価する必要があるという。
1つ目は「アクセス制御」。クラウドサービスはインターネットを介してユーザーからのアクセスを受け付けるため、オンプレミスのシステムと比べるとはるかにサイバー攻撃の脅威にさらされやすい。そのため、悪意のある第三者からの不正アクセスを確実に防ぐための強力なアクセス制御が必要となる。
2つ目は「脆弱性診断」だ。対象のクラウドサービスが専門の事業者による脆弱性診断を定期的にきちんと受けているかどうかをしっかり把握する必要がある。
3つ目の観点として「データの保管場所」にも留意したい。特に海外のクラウドサービスを利用する場合には、自社のデータがどの国・地域に保管されるかをきちんと把握しておかないと、いざというときに地政学的なリスクに阻まれて自社データに対するコントロールが効かなくなってしまう危険性もある。
そして4つ目の観点が「外部委託先管理」。クラウドサービス事業者自身だけでなく、その事業者のサプライチェーンに連なっている取引先や関連企業のセキュリティ水準にまでしっかり目を配っておく必要がある。
こうした観点に基づいて、世に存在する様々なクラウドサービスのセキュリティ対策状況を実際に調査してみると、対策が不十分なサービスが意外にも数多く存在することが分かるという。
「弊社が様々なクラウドサービスを100点満点で評価したところ、約4分の1のサービスが70点未満しか獲得できませんでした。脆弱性調査を実施していないサービスが8.2%存在し、実施している企業でもアプリかインフラの片方しか実施していないサービスが28%を占めています。さらには半数以上の企業が国外でデータを保管しており、その国や地域も米国・欧州以外が多数含まれています」(大森氏)
企業に代わって「第三者の立場」からリスクを評価
こうしたリスクを回避するために、現在多くの企業ではクラウドサービスを導入する前にその安全性を調査する「質問票」をクラウド事業者に送付し、その回答内容を基に対象サービスのセキュリティリスクを評価して採用の可否を判断している。しかしこうした調査方法には、様々な面で課題があると大森氏は言う。
「クラウドサービスの仕様は短期間のうちにどんどん変わっていくので、導入時に一度調査・評価するだけでは本来不十分です。またクラウド事業者がこちらの質問の意図をきちんと汲み取ってくれるとは限りませんし、そもそも質問票で挙げたヒアリング項目が本当に適切かどうかも多くの企業では判断できません」(大森氏)
そこでアシュアードでは、企業が抱えるこうした課題を解決するために、企業に代わって様々なクラウドサービスのセキュリティリスクを第三者の立場から評価。その内容をデータベース化して広く提供する「Assured」というサービスを提供している。
このサービスを利用することによって、企業は手間や時間をかけずにクラウドサービスのセキュリティリスクに関する情報をすぐに入手できるようになる。前述したような「質問票を作成」「事業者に送付」「返答を待ってからその内容を精査」といった作業が基本的に不要になるため、アシュアードによれば年間50件のリスク調査を行うケースでは業務負荷を4分の1まで削減できるという。
また調査・評価は第三者が行うため、恣意性や属人性を排した中立性の高いリスク評価が可能になる。既に多くの企業がこうしたメリットを評価してAssuredを導入しており、その中には中外製薬、SOMPOホールディングス、ふくおかフィナンシャルグループといったDXを推進している大手企業も含まれている。
Assuredのリスク評価データベースの中には、国内外の様々なジャンルのクラウドサービスに関する評価データが収められており、ユーザーは任意のクラウドサービスに関する情報をいつでも参照できる。この評価データの作成に当たっては、まず約120項目にわたる質問票をクラウド事業者に送付し、その回答内容を監査法人やコンサルティングファームで経験を積んだセキュリティアセスメントの専門家が精査した上でデータベースに登録しているという。
これに加え、対象サービスの公開情報をクローリングし、そこで得られた情報を基にスコアリングも行っている。このスコアリング情報と専門家の評価情報の双方を参照することによって、ユーザーは短期間のうちに正確なリスク評価を行えるようになるのだ。
厄介な「シャドーIT」対策も完備
2022年12月に実施されたAssuredのアップデートでは、いくつかの新機能が加わっている。その1つが「利用サービスの検出機能」で、多くの企業が頭を悩ませている「シャドーIT」の問題を解決する上で極めて有用だという。
「IT部門が利用を把握できているクラウドサービスはAssuredを使ってすぐにリスク評価できますが、現場がIT部門に申請せずに無断で利用しているクラウドサービスについては評価のしようがありません。そこでAssuredにはユーザーがブラウザを通じてアクセスしたクラウドサービスに関する情報を自動的に収集して、一覧として表示する機能が備わっています。これにより、シャドーITにともなうセキュリティリスクを大幅に低減することができます」(大森氏)
さらには評価情報や企業独自の管理情報などを一元管理できる台帳機能も新たに加わっており、使い勝手がさらに進化しているという。
「海外のクラウドサービスにも対応していますし、現在データベースに登録されていないクラウドサービスについても別途依頼をいただければ新たにリスク評価を行うこともできます。クラウドサービス利用を促進する上で最大の障壁となるセキュリティの懸念を払しょくできる有効な手段として、ぜひ活用をご検討いただければ幸いです」(大森氏)
