大手企業の情シスが遭遇した、SaaS利用関連のリスクTOP10
〜51.3%がインシデントに繋がるリスク発生経験あり(Assured調べ)〜

セキュリティ評価プラットフォーム「Assured(アシュアード)」は、従業員数1,000名以上を有する大手企業の情報システム部門に所属する300人を対象とした調査を実施し、SaaSなどのクラウドサービスの利用にあたって実際に発生したことのある事例トップ10をまとめ、2023年8月16日に発表しました。

※クラウドサービスとは、SaaSやASP等サービス自体がオープンなネットワークで接続され提供されるものを指します。(≒オンプレ等で提供されていないほとんどのWebサービス)
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
 

調査背景

近年、SaaSなどのクラウドサービスに起因したセキュリティ事故が多発しています。

本調査で、従業員数1,000名以上の大手企業の情報システム部門に所属する人の半数に及ぶ51.3%で情報漏えいの危機やサービス提供に支障をきたす可能性のある事例が発生したことが明らかになりました。

高精度で効率的なセキュリティ評価を実現し、安心安全なクラウド活用を支えるAssuredは、クラウドサービスの利用に関わるセキュリティリスクの実態にフォーカスし、実際に発生した事例TOP10を発表します。また、そのうち上位3つの事例を取り上げ、対策すべきポイントを解説をします。

 

第1位:社内限定公開のつもりが社外からもアクセス可能な設定になっていた(アクセス権限の誤設定)

第1位は、クラウドサービスのアクセス権限の設定ミスにより、意図せず社外からもアクセス可能になっていたという事例です。

IPAの「コンピュータウイルス・不正アクセスの届出状況 2022年」(https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/000108005.pdf)でも、不正アクセスの原因の第2位に「設定不備(セキュリティ上問題のあるデフォルト設定を含む)」が挙げられ、情報漏えいなどの事故に繋がる要因となっていることが分かります。

こうした状況を受け、総務省「クラウドサービス利用における適切な設定ガイドライン」(https://www.soumu.go.jp/main_content/000843318.pdf)でも注意喚起がされており、会社としての利用方針やマニュアルの作成、クラウドサービス事業者とのコミュニケーション・情報収集の徹底などが求められています。

クラウドサービスの設定ミスによるインシデントを防ぐためには、クラウドサービスの設定環境や制御方法、責任範囲を確認することが重要です。クラウドサービス事業者側のセキュリティ対策に頼るだけでなく、利用者側の責任で実施すべきこともあるという認識を持ち、設定ミスを防止・検知するための対策(レビューや定期的な点検など)を実行することで設定ミスの発生や、社外への情報漏えいを防ぐことができます。また、クラウドサービスの仕様変更によって、アクセス権限の設定が変更される事例もあるため、仕様変更に関するクラウドサービスからの通知タイミングや方法について事前に確認する必要があります。

 

第2位:自社で利用しているクラウドサービスがサイバー攻撃を受け、自社の機密情報も漏えいの可能性があった

第2位は、自社で利用するクラウドサービスに対してのサイバー攻撃で、情報漏えいの可能性があったという事例です。

近年、SaaS事業者を狙うサイバー攻撃被害が多発しており、IPAの「情報セキュリティ10大脅威 2023」(https://www.ipa.go.jp/security/10threats/10threats2023.html)でも、「サプライチェーンの弱点を悪用した攻撃」が2位(前年順位:3位)にランクインしています。

事業者側の自社サービスのセキュリティ対策はもちろんのこと、利用者側も、利用するクラウドサービスのセキュリティ対策状況を適切に見極め、利用判断をしていく必要があります。例えば、脆弱性管理や脆弱性診断の実施有無、データ侵害時の復旧対策や目標復旧時間などを導入前に確認することで、脆弱性をついた攻撃に対処できるか、また、仮に攻撃により被害が生じた際にどのような対処が想定されているかを把握し、そのリスクを許容できるか評価することで利用可否の判断が可能になります。

 

第3位:機密情報が保存されたクラウドサービスが利用可能なスマートフォン等を紛失し、情報漏えいの可能性があった

第3位は、クラウドサービスを利用する機器の紛失により、情報漏えいの可能性があったという事例です。

クラウドサービスの業務利用が増えると同時に、コロナ禍から徐々に外出の機会が増えるなか、社用スマホなどの持ち出し機会も増えることが見込まれます。

紛失自体を防ぐための従業員の教育や社内ルール規定はもちろんのこと、紛失した際に、クラウドサービス上の情報漏えいを防ぐための対策も必要です。

クラウドサービスのアプリにおける指紋認証などの生体認証可否や、紛失したスマホからの接続を制限できる機能の有無などを確認することで、情報漏えいの可能性を最小限に留めることができます。

 

【調査概要】

・調査方法:インターネット調査

・調査時期:2023年7月

・調査対象:全国、男女、20~60代、従業員数が1,000名以上の会社に勤める社内情報システム担当者、300名

(調査機関はシグナルリサーチに委託)

※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。

※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

 

<総括>
株式会社アシュアード代表取締役社長 大森 厚志

この度、従業員数1,000名以上の企業に向けた調査で、クラウドサービスに関連したリスクを半数以上が経験したことがあるという実態が明らかになりました。上位に挙げられているものは、情報漏えいなどの大きな事故に繋がりかねない憂慮すべき事例であり、実際に、近年こうしたクラウドサービスに起因した事故が多発しています。

デジタル時代において必要不可欠な存在であるクラウドサービスは、そのリスクを適切に見極めることで、安心・安全な活用を実現できます。

そのためには、利用に関する社内方針やルールを策定したうえで、導入前にセキュリティ評価を実施し、利用可否を決定していくことが大切です。さらに、評価結果に応じた従業員への安全な利用方法の指導、教育などを行い、これらを継続的にモニタリングしていくことも不可欠です。

また、機密情報を取り扱ったり、自社サービスに重大な影響を及ぼすような重要度の高いクラウドサービスについては、インシデントの発生に備え、予め代替手段を用意しておくなどの対策も重要です。

今後もAssuredは、社会全体の安心・安全なクラウド活用推進を支えていけるよう、サービス向上に努めてまいります。