クラウドの障害や情報漏えい、利用者に必要なセキュリティ対策
クラウドサービスのセキュリティインシデントは、利用者の事業に影響を及ぼす事態にもつながります。業務利用が広がるクラウドサービスの利用にあたって、セキュリティの観点でおさえておきたい事項をご紹介します。
クラウドサービスで続くセキュリティインシデント
2023年6月、組織向けの給与計算支援サービスがランサムウェア攻撃を受けシステム障害を起こし、記事公開時点で10日以上にわたりサービス提供が中断し、利用者に大きな混乱をもたらしています※。組織でのクラウドサービスの利用が広がった結果、業務のクラウドサービスへの依存度も増しています。今回のケースように、提供事業者側のシステムに障害などのトラブルが発生すれば、利用者の事業に影響を及ぼす事態にもつながります。組織がクラウドサービス利用するうえで、おさえておきたいポイントを考えます。
※ 株式会社エムケイシステム 【接続障害】お詫びと状況のご報告(2023/6/9)
クラウドサービスは提供形態から、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)に分類されます。なかでも、ソフトウェアをクラウド上で提供するSaaSは、利用者側は特別な環境を用意することなく、ネット経由でサービスを利用できる手軽さもあり広く利用されています。SaaS形態で提供されるサービスは、代表的なものとしてマイクロソフト社のMicrosoft 365のほか、名刺管理サービスやマーケティングオートメーションサービス、人事労務サービスなど多岐にわたり、組織に広く浸透しています。冒頭の給与計算支援サービスも、SaaS形態のクラウドサービスで、約3千近い国内組織に利用されていることと公表されています。
一方で、クラウドサービスの利用が進むなか、サービス障害や情報漏えいといったクラウドサービスのトラブルも顕在化しています。以下の表は、SaaS形態のクラウドサービスに着目し、2023年に発生したセキュリティインシデントの一部を公表情報に基づきまとめたものです。サイバー攻撃や設定ミスによるシステム障害や情報漏えいが、サービス提供事業者、サービス利用者ともに発生していることがわかります。いずれのインシデントも、利用者、また提供事業者ともに起こり得るインシデントですが、仮に提供事業者で発生した場合、その被害はサービス利用者へ及ぶ可能性があるため事態はより深刻です。
表:クラウドサービスのセキュリティインシデント
公表情報をもとにトレンドマイクロが整理
クラウドサービス利用者、提供事業者に必要な対策
クラウドサービスのセキュリティについて、利用者、提供事業者それぞれの観点で整理します。
利用者の観点では、自組織のサービス利用やセキュリティに留意するだけではなく、クラウドサービス提供事業者側に起因するインシデントを想定し、対応計画を用意しておくことをおすすめします。システム障害によるサービス停止に備えた事業継続計画、加えて情報漏えいの問題も考慮する必要があります。自組織の顧客情報を預けているサービスから、個人情報漏えいが発生した場合、自社顧客や個人情報保護委員会への報告義務が発生する可能性もあります※。
※ 漏えい等報告・本人への通知の義務化について(個人情報保護委員会)
また、組織内のサービスの利用実態を把握することも重要です。手軽に導入できるSaaSは、事業部側に導入や管理を一任されているケースも少なくないのではないでしょうか。管理が不適切なSaaSの存在はセキュリティリスクにもなり得ます。棚卸しを進め、管理者の確認やアカウント整理などのセキュリティ点検の実施、また不要なサービスの見直し行ってください。そして、サービスや提供事業者の選定基準、導入後の運用管理を定めたガイドライン整備し、定期的なセキュリティ監査を通じ、適切なサービス利用を図ってください。
クラウドサービスでは、設定ミスに起因するインシデントも多く発生しています。サービスの確認やミスを防ぐ仕組みやツールの利用を検討ください。当然ではありますが、他のIT機器と同様に、サイバー攻撃のリスクもあります。サービスに関しては、アカウントの適切な管理など利用者側の責任となるセキュリティ対策を、また組織としてもセキュリティ対策の基本を徹底し、攻撃の検知力を上げる技術の導入を検討することをおすすめします。
サービス提供事業者においては、サービスそのものと自組織のセキュリティ対策が必要です。サービスの設定ミスだけではなく、サイバー攻撃によってもサービス停止や情報漏えいといったセキュリティインシデントが起こり得ること、結果、サービス利用者も被害を受けることから、セキュリティを事業リスクとして捉え、対策を講じる必要があります。
DXなどデジタル化の進展により、サイバー攻撃の標的となる領域、つまり攻撃対象領域(アタックサーフェス)が拡大しています。自組織の攻撃対象領域を把握したうえで、「アタックサーフェスリスクマネジメント(Attack Surface Risk Management:ASRM)」のアプローチを活用し、優先的にリスクコントロールを施すべき箇所を定量的に判断することで、効率的にセキュリティ対策を進めることができます。
<クラウドサービス利用者>
・組織的対策
・クラウドサービスや事業者の選定基準、運用管理のガイドライン整備
・組織内のクラウドサービスの棚卸しによる管理者や利用状況の把握
・クラウドサービス導入後の定期的なセキュリティ監査
・クラウドサービス障害時の対応プランの整備(自組織起因にくわえ、サービス提供事業者者起因で発生する障害によるサービス提供停止やサービス経由での情報漏えいなどへの備えも)
・技術的対策
・利用するクラウドサービスと自組織における基本的なセキュリティ対策の徹底
・利用するクラウドサービスは、事業者と自組織の責任範囲を確認し、適切なセキュリティ対策を行う
・組織においては、脆弱性対策、アカウント情報の適切な管理、多要素認証の利用、適切なデータバックアップなど基本的な事項を徹底する
・EDRやXDRによるサイバー攻撃への検知力向上
<クラウドサービス提供事業者>
・サービスのセキュリティ強化
・開発におけるセキュリティ・バイ・デザインの導入
・脆弱性対策、人為的な設定ミスを防ぐ仕組みやツールの導入
・自組織のセキュリティ対策
・基本的なセキュリティ対策の徹底
・EDRやXDRによるサイバー攻撃への検知力向上
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年10月31日)