セキュリティについて
絶対に気をつけたいSaaSのセキュリティ事故 3選
こんにちは。企画室の三上です。
突然ですが、皆さんの会社ではクラウドサービスをいくつ使ってますか?
2019-2020年において、いくつかのSaaS会社による調査レポート結果を見ると、国内の一般的な企業は平均7~8のサービスを利用しているようです。 多いところだと15程使っている企業もあるとか?更に、アメリカなどグローバル企業だと50個以上使っている企業もあるらしいので、桁が違いますね。
総務省の資料を読む
言うまでもありませんが、昨今の企業や組織においては様々なシステムのクラウド化が急速に進んでいます。実際にどれくらい進んでいるのかを、総務省の統計データを参照して確認してみましょう。
総務省が公表した「情報通信白書令和3年版(注1)」によれば、2020年にクラウドサービスを一部でも利用している企業は68.7%に上ります。企業のほぼ半数のシステムは“雲の上“で稼働していることになります。
また、多くの企業ではクラウドサービスの効果を実感しており「非常に効果があった」又は「ある程度効果があった」と回答した企業の割合は87.1%と利用への満足度も高いことが伺えます。
企業がクラウドサービスを利用する背景には、デジタルトランスフォーメーション(DX)の推進やコロナ禍でのテレワーク導入による働き方の変容など、様々な要因が影響していると思います。
クラウドサービスの良いところ、私自身は下記の2点が良いところだと思っています。
(1)ユーザーがいつでもどこからでもデータにアクセスできる利便性
(2)資産や運用保守体制を自社で確保する必要がなくなる管理面
特に(2)については情シス部門において、業務効率化やコスト面でのメリットが高いので、今後も幅広く利用されることが予想されます。
クラウドサービスの懸念点
しかし、クラウドサービスを利用するにあたって懸念もあります。
それは、クラウドサービスを利用する企業(利用者)側に起因するセキュリティ事故が相次いでいることです。
クラウドサービスを利用するには、事業者側のセキュリティ対策に頼るだけでなく、利用者側もセキュリティ対策を正しく実施しなくてはなりません。利用するクラウドサービスが複数あるなら、ひとつひとつ適切なセキュリティ対策を検討し、実施していく必要があります。運用がちゃんとしていないと、恐ろしいセキュリティ事故が発生してしまうかもしれません。
以下は過去に発生した重大セキュリティ事故の3選です。考えただけでゾッとしますね。
(1)と(2)に関しては事業者側に起因する問題が大きいのですが、(3)においては利用する企業側での事故です。企業の情シス部門においては絶対にこうした(3)の設定ミスを避けなければなりません。内部の関係者からの情報漏洩事故なども注意が必要です。
悪意ある人はインターネットの向こう側ばかりではありません。社内環境側からも 不正アクセスを試みる場合も有りうるという認識をもって「ゼロトラスト」のセキュリティ対策 を実施していく必要があります。
ヒヤリ、ハッとした経験ありませんか?
異動が多い季節。 人事通達を確認して、人事データベース、ADなどのディレクトリサービスにアカウントを作成した後、クラウドサービスひとつひとつに権限を確認しながらアカウントを登録していく・・・ 同じような作業を繰り返し続けていると手間に感じるし、集中力も持ちませんよね。 辞めた人がいれば、アカウントを削除する必要がありますが、その人が利用していたクラウドサービスを網羅できていなくて、あるサービスに削除せずひっそりとアカウントが残っていたら・・・万が一、退職者がログインに成功して、情報を持ち出してしまったらそれは重大なセキュリティインシデントです。
最後に
便利なクラウドサービスですが、利用しているサービスの数が増えれば、リスクも増えます。 情シス部門の手作業や個別の設定変更による「設定ミス」のリスク低減にクラウドID管理サービス「Keyspider」はいかがでしょう。
みなさんの中で、もしも「私、SaaSで設定ミスしたことあります・・・」という方がいらっしゃれば、ぜひ、下記の資料をダウンロードして読んでみてくださいね。
最後までご覧いただきありがとうございました。
関連サービス
- Keyspider
- TrustLogin
