Visionalグループのアシュアードが運営するセキュリティ評価プラットフォーム「Assured」は、クラウドサービスの設定ミスに関するリスク実態調査の結果を公開しました。この調査では、クラウドサービスの機能や権限に関する設定について、Assured独自のデータを基にした分析結果が示されています。
主な調査結果によると、半数以上のクラウドサービスがアクセス権限設定の仕様を変更する際に事前通知を行っていないことが明らかになりました(図1)。具体的には、54.9%のクラウドサービスがこのような事前通知を実施しておらず、利用者が仕様変更に気付かずに設定ミスを引き起こすリスクがあると指摘されています。通知のタイミングや方法も様々であり、事前通知のタイミングが遅い場合には対策が難しくなるため、企業側はマニュアル等で注意喚起する必要があります。
また、他サービスとの連携機能についても約3割(30.7%)のクラウドサービスが管理者権限で設定できないと回答しており、情報漏えいのリスクが高まる可能性があります(図2)。不要な連携機能は利用不可にすることが推奨されています。
さらに、約2割(22.1%)のクラウドサービスが預託データの外部公開機能の使用可否を管理者権限で設定できないと報告されました(図3)。このような機能を利用しない場合は、設定ミスを防ぐために使用不可にすることが重要です。
最後に、約半数(50.9%)のクラウドサービスで、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できないことが判明しました(図4)。インシデント発生時の調査や原因究明にログ確認が不可欠であるため、サービス利用者自身がログを確認できる機能が必要です。ログ提供の可否や問い合わせ窓口の情報を事前に把握しておくことも推奨されています。
クラウドサービスの利用企業は、このようなリスクを低減するために、設定ミスのリスクを最小限に抑えるサービス選定が必要です。適切な対策が施されているかを確認し、リスクを低減するためのプロセスを構築することが重要です。
.png)
