(イメージ:写真AC)

今回は、クラウドサービスの活用に潜むリスクについて取り上げます。執筆時点(2020年7月)では、COVID-19(新型コロナウイルス感染症)による在宅勤務環境の整備で、急場しのぎによる利用なども含め、企業や消費者によるクラウドサービスの活用が顕著に進んでいます。ゼロから自前でサービスを構築するよりも安価で、システムを担当する従業員のワークロード(労働負荷)も下げられることが主な魅力ですが、そのセキュリティーリスクに関しては、対策の意識が低いようです。

RSAが独自に調査した「サイバーセキュリティー対策の実施状況」資料(*)によると、「クラウドセキュリティー対策(ID管理/CASB)」が「できている」と回答した企業は29.4%にとどまっており、昨今の現場でもその状況は変わっていないか、むしろ低くなっていると推測します。

写真を拡大 サイバーセキュリティー対策の実施状況

クラウドサービスを活用することで、企業はワークロードをクラウドサービス側に移転することができ、作業に伴うリスクも移転されることを期待しています。しかしリスクをサービス事業者側に移転させることはできず、リスクを背負うのは自社であると認識する必要があります。7月のサイバーセキュリティー戦略本部でも日本政府は、官民に浸透するクラウドサービスについて「組織が管理できないネットワークが前提になるため情報流出リスクに懸念を示し、利用実態を踏まえたリスク対策が重要になる」としています。

では、どのようなリスクが懸念されているのでしょうか。複数のクラウドサービスの環境下で考えるべきセキュリティーリスクは、複数の象限に分けられます。前述で引用した資料の中では、例として以下のような八つの象限に分けた視点で全体を捉えることが重要であるとしています。

写真を拡大

上記のように全体を捉えようとすると、考えるべきリスクは広範囲に及ぶため、今回はわれわれのようなサイバーセキュリティー対策を支援するベンダと顧客の間でよく取り上げられるリスクについて三つにまとめてみます。

1. アクセスの煩雑化

働き方の多様化とクラウドサービスの複数利用ならびに、旧来からあるオンプレミスネットワークとの併用などによるIT環境の複雑化で、どこから誰がどのような権限でアクセスしてくるか把握することが困難になる。

2. ネットワーク環境の可視性の欠損

クラウドサービス事業者を複数利用することで、ネットワークのモニタリングが困難になる。

3. ガバナンスの欠損

企業が活用するデータを多くのクラウドサービスに移すことで、ガバナンスをきかせることが困難になる。

このパンデミックの状況で、利用するクラウドサービスの数が増えたり、オンプレミスのインフラをクラウドに移行したりと、クラウド活用は活況になりつつあります。しかし繰り返しになりますが、セキュリティーリスクまでも移転することは困難です。利便性やコスト削減が得られる分、発生するセキュリティーリスクと向き合って対応していく必要があります。