事業継続脅かす｢クラウドサービス｣安全性の盲点 セキュリティ評価や選び方のポイントとは？

さらに定期評価と併せて、利用中のクラウドサービスを台帳管理し、最新の利用状況を可視化することも有効だ。これができていない場合、利用するクラウドサービスでセキュリティインシデントが発生した際に迅速な影響調査を行うことが困難になる。

例えば、PoC（概念実証）のため少人数でクラウドサービスを利用し、機密情報を取り扱わない条件で利用判断を行っていたのに、いつの間にか本導入され複数の部門が利用し、機密情報を取り扱うようになっていたという事例もある。

利用用途や取り扱うデータの内容によってリスクが変わるため、最新利用状況と定期評価結果から継続利用の可否を検討することが求められる。

情シス部門の指示だけでは社内の理解は得られにくい

クラウドサービスの利用部門への啓蒙や指示も欠かせない。多要素認証などのセキュリティ機能を有しているクラウドサービスを選定しても、現場が利便性を優先して多要素認証を利用していないといったケースがあるからだ。

IT・情シス部門からただ指示を出すだけでは利用部門からの理解が得られにくいため、経営者がセキュリティ重視の姿勢を社内に示したうえで、世の中のインシデント事例を活用しながら、対策の必要性やメリットについて伝えていくことが効果的である。

クラウドサービスの利用が事業の拡大に欠かせない今となっては、その利用を控えることはできない。一方、事業リスクとなるクラウドサービスに係るセキュリティインシデントは増加していくことが想定される。

そのため、クラウドサービスのセキュリティ評価や選定は、企業の事業継続にとって今後さらに重要な要素となっていくだろう。

東洋経済Tech×サイバーセキュリティのトップページはこちら

著者フォローすると、早崎 敏寛さんの最新記事をメールでお知らせします。