｢クラウド設定ミス｣で情報漏洩が続発する根因 導入時は｢サービス提供側の営業戦略｣にも注意

筆者は、次の3点が主な原因になっていると推測している。

1つ目は、「新機能や新技術の追加に伴うリスク」に対する認識の欠如だ。

クラウドサービスの利点の1つに、ニーズのある機能が次々に追加されるといった点がある。クラウドサービスにおいて「進化」はとても重要な競争力であり、この市場をリードするAWSは、2020年に2757回のリリースを実行している。

しかし、年間約3000回も行われる「進化」を、利用企業が人間のチェックだけですべて把握して正しい設定を行うことは、もはや不可能と言っていいだろう。

新機能や新技術が登場した時点では「追加に伴うリスクは何なのか」を判断する材料がない。そのため、リスクが認識できないまま不適切な設定が放置されやすく、ある日突然、情報漏洩などが発覚して「設定ミス」が露見するのである。

サービス提供側の営業戦略で起きる設定ミスも

2つ目の設定ミスの原因としては、「社内チェック機構」の機能不全が挙げられる。実は、サービス提供事業者の営業戦略によって、企業の中で適切なセキュリティ検討が行われることなく新しいサービスが社内に導入され、後日設定ミスが発覚するというのはよく目にする光景だ。

例えば、企業全体での利用が見込まれるオフィス系のサービスや営業管理系のサービスの場合、営業側は企業の経営幹部を狙う「トップダウン営業」をよく使い、なるべく早く契約を締結しようと、営業先のセキュリティ部隊等が提案に関与しないように誘導する。営業先でセキュリティの検討が始まってしまうと、サービス導入が遅れる、あるいはセキュリティリスクを理由に契約しないといったケースもあるからだ。

仮に営業先のセキュリティ部隊が関与できたとしても、「社長肝入りのDX案件」などと言われてしまうと、セキュリティ部隊は批判を恐れて、本来実施しなければならないセキュリティ検討項目のいくつかに目をつむってしまうこともある。