事業継続脅かす「クラウドサービス」安全性の盲点、安心活用に必要なセキュリティ評価や選び方のポイントは?
DX推進を背景に、クラウドサービスの利用が増加している。 総務省「令和4年通信利用動向調査報告書(企業編)」によると、2022年にクラウドサービスを「全社的に利用している」「一部の事業所または部門で利用している」と回答した企業の割合は7割を超えた。 【ランキングを見る】実際に発生しているクラウドサービスのリスクTOP10 さらにChatGPTが話題となった2023年以降は、生成AIを組み込んだSaaSが続々と登場し、多くの企業が生成AIの業務活用を始めた。もはやクラウドサービスは企業にとって必要不可欠な存在になっていると言えるだろう。
■半数の企業がクラウドサービスのインシデントを経験 一方で、クラウドサービスを起因とする情報漏洩などのセキュリティインシデントが、日々報告されている。 例えば、2023年にはある社労士向けのクラウドサービスがランサムウェアに感染し、約1カ月のサービス停止に追い込まれるなど、サプライチェーン攻撃の1つの類型として社会的に大きな影響を与えた。 クラウドサービスのリスク評価を手がけるアシュアードが、2023年に従業員数1000名以上の企業の情報システム部門300名を対象に実施した調査でも、回答企業の51.3%がクラウドサービスに起因したインシデントを経験していることがわかっている。
具体的には、以下のようにアクセス権限の誤設定(17.7%)やサイバー攻撃(14.3%)をはじめ、さまざまなリスクが報告されている。 近年、セキュリティリスクに対し、国内外でさまざまな規制やガイドラインが整備され、改訂が重ねられている。2023年には経済産業省の「サイバーセキュリティ経営ガイドライン」がVer3.0に改訂され、サプライチェーン全体を通じた対策の推進について、組織幹部が自らの果たすべき役割を認識したうえでリーダーシップを発揮し、さらなる対策を図ることが求められるようになった。
まさに、セキュリティ対策は経営レベルで検討すべき事項なのである。クラウドサービスの利用に関しても、担当者任せにしていては大きな経営リスクにつながる可能性がある。 ■自分たちの組織のランサム攻撃対策だけでは不十分 では、企業がクラウドサービスを利用する際、具体的にどのような点に注意したらよいのだろうか。 多くの企業はセキュリティチェックシートを用いて、利用するクラウドサービスのセキュリティ評価を実施しているが、評価項目は企業ごとに異なり、網羅性やトレンドに対応していないケースがある。