クラウドの設定ミスは誰のせい?「担当者まかせ」ではない仕組み作りが重要

CISOアドバイザー

2023/6/1(木) 11:32

　トヨタ自動車の子会社であるトヨタコネクティッド社がクラウドサービスの設定ミスによって外部から国内約26万人分の顧客情報にアクセス可能であったことが明らかになりました。同子会社は5月12日にもクラウド環境の誤設定で約215万人分の顧客情報が漏洩した可能性があると発表していたため、今回と合わせて合計241万人分の顧客情報漏えいの可能性があったことになります。

　セキュリティ対策にかけるコストも、人材も豊富と推測されるトヨタグループでも発生する設定ミス。これらが起きる背景にはどのような課題があるのでしょうか?

■クラウドの設定ミスはどこの組織でも起き得る問題

　クラウドの設定ミスは「めったにおきないこと」ではなく、どこの組織でも起こり得るものとして考える必要があります。IPAの情報セキュリティ10大脅威 2023では「不注意による情報漏えい等の被害」9位にランクインしています。海外でもVerizon社の調査では情報漏えいの13%は「設定ミス」に起因しており、無視出来ない脅威であるとしています。

　決して日本のセキュリティ対策レベルが低いということではなく、またトヨタグループ程の企業が設定ミスを起こしているということを考えると、国や企業の大小に関わりなく発生するものであり、どのレベルの企業であっても「起こり得るリスク」と考えることが賢明です。

■人任せではクラウドサービスの進化に追随出来ない

　クラウドサービスの代名詞としても認識されているAmazonのAWSは2006年にサービス提供が開始されIaaSというジャンルを創出しました。AWSの歴史はまだAWSという名称の無かった2004年の Amazon Simple Queue Service（SQS）の提供開始から始まり、現在ではサービス数は200を超えています。

　AWSはイノベーションを武器と考えていて頻繁な機能改修が行われており、年間 3,000 回を超えるバージョンアップや機能改修が行われています。

　AWSだけを見ても200を超えるサービスと年間3000回を超えるアップデートが行われており、これを「担当者」のナレッジだけで十分に対応出来ると考えることは危険な思い込みです。

■メーカー側のサービス仕様変更に伴うゴーストサイト

　簡易なポータルサイトを提供するサービス等では、メーカー側のサービス仕様変更に伴い新サービスが公開され、旧サービスのポータルサイトの利用が停止されるということがあります。

　しかし、こういった「旧サイト」にアクセスしつづけることが可能になっており、これら放置された、言わば「ゴーストサイト」はメーカー推奨の設定変更のアナウンス等も適用されず放置されたままになることもあります。

　Salesforceの"Salesforce Site"と呼ばれるWeb公開サービス等はこのような状態で放置されていることが多いと警鐘をならす研究者もいます。

■設定ミスを防ぐCSPM、SSPM

　それでは、クラウドの設定ミスを防ぐにはどういった対策が考えられるのでしょうか?クラウドの設定ミスは「人任せ」では対処出来ない課題であると認識している企業ではCSPMやSSPMといったソリューションの導入が始まっています。

　・IaaSの設定ミスを監査するCSPM

　クラウドの設定ミスは2017年頃からAWS S3の設定ミスによる情報漏えいが盛んに報道されるようになり、その後AWS自身もこの問題を認識しS3のデフォルト設定を変更するなど改善に取り組んではいるものの、未だに設定ミスに起因する情報漏洩は後を絶ちません。

　2017年頃から、こういったIaaSの設定ミスを検出するCSPM（Cloud Security Posture Management）というソリューションへの関心が高まりました。

　CSPMを用いることでIaaSが提供するクラウドストレージのアクセス権限や、各コンピューティングリソースに対する通信許可設定などを監査することが可能です。設定ミスを検出すればセキュリティ担当者に通知を送ったり、中には特定の通信を自動修復する機能をもったソリューションもあります。

　・SaaSの設定ミスを監査するSSPM

　CSPMはIaaSを対象としているためMS365やSalesforceといったSaaSを対象とする場合には、SSPM（SaaS Security Posture Management）と呼ばれるソリューションが必要になります。

　SSPMを用いることでSaaSが提供するクラウドストレージのアクセス権限や、過剰に権限を付与されたユーザーアカウント等が無いか?などを監査することが可能になります。

　なお、SaaSは膨大な数が存在するため保護すべきSaaSを明確にした上で、SSPMが対応可能であるかを選択する必要があります。MS365やBOX、Salesforce等グローバルでも広く利用されているエンタープライズ用SaaSはサポートされていることが多いのですが、国内導入企業が大半のSaaS等はSSPMの対象外であることも多いので注意が必要です。