情報セキュリティのプロが解説「サイバー攻撃最新動向」(第5回)

クラウドの情報セキュリティリスクと可視化技術

posted by NTT東日本 サイバーセキュリティチーム 平岩啓、吉川亮太、阿部知規

 世間で騒がれているサイバー攻撃について、その危険性や対策方法をお伝えする連載シリーズの第5回目です。

 現在のような新型コロナウイルス禍におけるテレワークの推進により、働く場所、利用するデバイスを問わずアクセス可能なクラウドサービスの利用ニーズが高まっています。

 一方で、クラウドサービスを業務で利用する際の情報セキュリティリスクとして、会社の許可を得ていないデバイスやICTサービスを利用する「シャドウIT」や、クラウドサービスの設定誤りによる「情報漏えい」など、ユーザの利用方法を起因とした多数のリスクが指摘され、機密情報が流出したとする報道もされています。

 クラウドサービスを安全に業務利用するには、社内におけるクラウドサービスの利用状況を把握し、必要に応じた対策が行える環境を整えることが重要になります。本記事では、クラウドサービスを業務利用する際に考慮すべき情報セキュリティリスクと、安全に利用するための可視化技術について紹介します。

クラウドサービスの利用における情報セキュリティリスク

 クラウドサービスは、導入コストが低く利便性が高いなどのメリットがある反面、一般的なローカル環境のシステムに比べ、アカウントへの不正ログインを受ける「なりすまし」や、第三者の不正アクセスによる「情報漏えい」「データの改ざん」、クラウドサービスを介した「マルウェア感染」など多くの情報セキュリティリスクに晒されるデメリットもあります。

 これら情報セキュリティリスクの主な要因は、ユーザのアカウントやデータの取扱いに関する情報セキュリティ設定・デバイス管理が不十分であること、また社内において社員の利用実態を適切に把握・管理できていないことにあります。

 例えば「シャドウIT」は、会社で許可されていない、マルウェア感染した私物デバイスがクラウドサービスを介して社内システムへ接続されることで感染拡大したり、禁止されているにも関わらず情報セキュリティが万全ではないクラウドサービスを利用し業務データを漏えいさせたりするなどのリスクがあり、特に注意すべきリスク要因の1つです。

 「シャドウIT」以外にも、ユーザ側で設定・運用するクラウドストレージの外部公開範囲や、ウェブサイトのアカウント権限設定などの情報セキュリティ設定に誤りがあり、意図せずに情報が漏えいする事案も近年では増えており、クラウドサービスを安全に利用するには「設定誤り」も注意すべきリスク要因となっています。

 以上から、クラウドサービスを導入するユーザ企業は、クラウドサービス利用における情報セキュリティリスクを理解し、社員のクラウドサービスの利用実態が社内の情報セキュリティポリシーに基づいた利用となっているかを把握・管理することが重要になります。

クラウドサービスの利用状況を可視化し管理する

 情報セキュリティポリシーの管理や運用には、具体的なルールを記述したガイドラインの策定や、社員への教育などが必要です。しかし、ガイドラインを厳しく設定するだけでは却ってシャドウITを招く原因にもなりますし、教育だけでは正しくクラウドサービスの情報セキュリティ設定を施しているかの把握が困難です。

 クラウドサービスを安全に利用するためには、ガイドライン策定や社員教育に加えて、クラウドサービスの利用状況を可視化し情報セキュリティポリシーに沿った安全な状態であるかを把握・管理する「CASB(Cloud Access Security Broker)」の利用が有効です。

 例えば、「CASB」をユーザ企業の社内Proxyサーバと連携させることで、「CASB」の持つクラウドサービスのデータベースからユーザがインターネット上でどんなクラウドサービスを利用しているかを分析し、許可していないクラウドサービスへの接続を検知することが可能となります。

 他にも、「CASB」に対応するクラウドサービスとAPIを連携させることで、ファイルのアップロード/ダウンロード状況や、外部公開範囲の情報セキュリティ設定、ファイルの暗号化状況、誰がどんなデバイスからアクセスしたかなど、情報セキュリティポリシーに沿った利用が行われているかを可視化し、クラウドサービスの細かな利用状況を把握することができます。このようにして把握した利用状況を分析することで、「シャドウIT」および「設定誤り」を検知する事ができ、必要な情報セキュリティリスクへの対策を行うことが可能となります。

まとめ

 テレワークの推進とともに利用ニーズが高まるクラウドサービスですが、クラウドサービス導入にあたっては、導入における情報セキュリティリスクを考慮し、情報セキュリティポリシーに沿ったガイドラインの策定や社員の教育を行うとともに、適切にクラウドサービスが利用されているかを把握することが重要であり、それにはCASBの利用が有効です。

 社内におけるクラウドサービスの利用状況を可視化し、適切な情報セキュリティ対策を促すことで安全にクラウドサービスの利用を推進していきましょう。

NTT東日本 サイバーセキュリティチーム 平岩啓、吉川亮太、阿部知規

NTT東日本 サイバーセキュリティチーム 平岩啓、吉川亮太、阿部知規

メルマガ登録


NTT EAST DX SOLUTION


ミライeまち.com


「ビジネスの最適解」をお届けします 無料ダウンロード資料


イベント・セミナー情報

ページトップへ

ページ上部へ戻る