「クラウド設定ミス」で情報漏洩が続発する根因 導入時は「サービス提供側の営業戦略」にも注意

著者フォロー
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

縮小

3つ目に重要なのは、「人」の問題にしないこと。経営層は「専任の担当者をつけ、十分にチェックすればクラウドの設定ミスくらいは防げるだろう」と考えているかもしれない。

しかし、セキュリティ専門企業のLACや、AWSのスペシャリスト集団であるクラスメソッドでさえ設定ミスによるトラブルが報道されている。専門家を抱える組織でもミスは起きるものであり、人による管理では十分ではないと考えを改めることが重要だ。

そして、クラウドの設定ミスを検出、予防するためのセキュリティソリューションを活用したい。例えば最近では、IaaSの設定ミスを対象とした「CSPM(Cloud Security Posture Management)」、SaaS(Software as a Service)の設定ミスを対象とした「SSPM(SaaS Security Posture Management)」を導入する企業が増加傾向にある。ツール導入はクラウド時代に必要なコストと考え、CSPMやSSPMの採用を検討することを推奨したい。

「CSPMやSSPMの設定ミス」に注意

最後に1つ、これから問題視されるであろう「設定ミス」について触れておこう。それは、CSPMやSSPMの設定ミスだ。

現状、CSPMやSSPMの活用方法が普及していると言えず、「どうやって使えばよいかわからない」という悩みを抱えている企業が多いのではないだろうか。おそらくそのほとんどが、自社にとってのリスクを正しく認識しないまま導入してしまったケースだと思われる。

例えば、経営層から「クラウドサービスの設定ミスに対する対策はできているか」と相談を持ちかけられ、ベンダーからCSPMやSSPMの情報を取り寄せる。そして、ベンダーが提示してきた比較表を見て、「対象アプリケーション数やルール数が一番多い」という単純な理由で導入が進んでしまうケースが散見される。

このように、CSPMやSSPMの導入が目的となってしまっているケースにおいては、事前定義された設定ミスの検知ルールをデフォルトのまま有効化し、月1000件を超えるアラートが発生して呆然とする事態になるだろう。ひどいケースでは、「毎日アラートが出ているが、とくに異常はない」とし、アラートを無視するのが当たり前になってしまう。

こうした事態に陥らないためにも、CSPMやSSPMを検討する場合には、自社にとってのリスクや対処の必要なリスクについて共に考えてくれるベンダーの姿勢も、評価対象とすることをお勧めする。

東洋経済Tech×サイバーセキュリティのトップページはこちら

大元 隆志 Netskope Japan エバンジェリスト

著者をフォローすると、最新記事をメールでお知らせします。右上のボタンからフォローください。

おおもと たかし / Takashi Ohmoto

大手SIerにて通信事業者用スパムメール対策、VoIP脆弱性診断等、企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援の経験を経て、現在はNetskope Japanにて、エバンジェリストを担当。受賞歴は、ゼロトラストセキュリティアワード(アカマイ)、CASBパートナーオブ・ザ・イヤー(マカフィー)など。CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタントの資格を所有。著書に『ビッグデータ・アナリティクス時代の日本企業の挑戦』など。

この著者の記事一覧はこちら
ブックマーク

記事をマイページに保存
できます。
無料会員登録はこちら
はこちら

印刷ページの表示はログインが必要です。

無料会員登録はこちら

はこちら

関連記事
トピックボードAD
ビジネスの人気記事