catch-img

クラウドサービスの設定ミスを引き起こすリスクの実態調査

クラウドサービスの機能や権限に関する設定について、Assured独自データによる調査結果を公開します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

<結果サマリー>

・半数以上が、アクセス権限設定の仕様を変更する場合の事前通知を実施せず
・約3割が、他サービスとの連携機能の使用可否を利用者の管理者権限で設定不可。他サービスとの連携は情報漏えいリスクに繋がりかねないため管理者権限での設定が推奨される
・約2割が、預託データの外部公開機能の使用可否を利用者の管理者権限で設定不可。多くのサービスで適切な対策がされているものの、リスクがあるサービスも一定存在
・約半数で、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できず。インシデント発生時の調査や確認のためログ確認は重要


調査背景

昨今、企業のクラウドサービス利用が拡大している一方、利用しているクラウドサービスの設定ミスによる情報漏えい事故も増加しています。
クラウドサービスの責任共有モデルに定義されるように、SaaSのアクセス管理は利用者責任になります。クラウドサービスによっては、アクセス管理に関する通知や機能の提供が十分ではないこともあるため、適切な対策が施されているかを利用企業側が確認することで、設定ミスによる情報漏えいを防いだり、発生した場合の被害を最小限に留められる可能性が高まります。
そこでこの度、クラウドサービスの機能や権限の設定をAssured独自データ(Assuredがセキュリティ評価を実施したクラウドサービス)からまとめ発表します。

結果概要

1. 半数以上のクラウドサービスが、アクセス権限設定の仕様を変更する場合の事前通知を実施せず

半数以上にのぼる54.9%のクラウドサービスが、アクセス権限設定の仕様を変更する場合の事前通知を実施していないという結果になりました。アクセス権限が知らない間に拡大されるような変更は昨今考えにくいですが、新たなアクセス権限ができることでより詳細なアクセス権限が設定可能となる仕様変更は多いと想定されます。
ゼロトラストで重要な最小権限の原則を適用するために、利用しているSaaSのアクセス権限の仕様変更を把握し、適宜アクセス権限の付与を見直すことを推奨します。
アクセス権限設定の仕様変更を事前に通知するサービスにおいて、通知するタイミングや通知方法は様々です。

<主な通知タイミング>
・3か月前
・2か月前
・1か月前
・2週間
・1週間

通知されるタイミングが遅いと検討や見直しをする猶予がないため、事前の通知タイミングが遅いサービスについては留意できるようにマニュアル等に注意点として記載することを推奨します。

<主な通知方法>
・サポートサイトで通知
・リリースノートで通知
・システム内のお知らせで通知
・メールで通知
・X(旧Twitter)で通知
・電話で通知
・メール通知とサポートサイトで通知

メール通知や電話といったプッシュ型の通知以外は、利用者が能動的に確認しないと気付くことができないため、定期的に確認を行う体制やプロセスを構築し、マニュアルに記載する必要があります。

2. 約3割が、他サービスとの連携機能の使用可否をサービス利用者の管理者権限で設定不可

他サービスと連携する機能があると回答したクラウドサービスの内、30.7%が 他サービスとの連携機能の使用可否をサービス利用者の管理者権限で設定ができないという結果になりました。
他サービスとの連携が必須の場合は問題ないものの、他サービスとの連携が不要であれば、情報漏えいのリスク回避のために他サービスとの連携機能は利用不可にすることを推奨します。
また、一般の利用者が連携機能を勝手に利用できないように、管理者が設定できるアクセス管理機能が提供されていることが重要です。

3. 約2割が、預託データの外部公開機能の使用可否をサービス利用者の管理者権限で設定不可

預託データを公開または外部ユーザへ共有する機能があると回答したクラウドサービスの内、22.1%が外部公開機能の使用可否をサービス利用者の管理者権限で設定ができないという結果になりました。
他サービスとの連携機能の使用可否と同様に、利用しない機能は利用できないようにすることがリスクを回避するための重要な対策になります。従業員に対する教育や設定時のダブルチェックを実施したとしても、設定ミスは0にならないため、利用する状況に合わせてリスクを低減させるための対策を実施することを推奨します。

4. 約半数で、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できず

約半数の50.9%のクラウドサービスで、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できないという結果になりました。
ログイン履歴や操作ログは、設定ミスがあった時の調査や原因究明に必要な情報です。インシデント発生時や必要に応じてログを提供するサービスもありますが、提供までに時間を要することが想定されます。
そのため、早期の調査や原因究明のためには、サービス利用者自身がログを確認できる機能が必要になります。
インシデント発生時に早期対応が行えるように、利用しているクラウドサービスのログを利用者が確認できるか、確認できない場合にはログの提供可否や問い合わせ窓口等の情報を把握しておくことを推奨します。

<調査概要>
・調査件数:調査項目により異なる(各グラフ画像内に記載)
・調査日:2024年5月23日
・調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

解説・考察

クラウドサービスは気軽に利用できるため、設定値の内容に対する理解が浅いまま誤った設定をしてしまうことが多く、情報漏えいなどのインシデントに繋がるリスクがあります。
よくある設定ミスの事例として、アンケートの回答が他の回答者に共有されてしまったというものが挙げられます。設定項目の内容を正しく理解せず、良かれと思って設定したら、回答内容の一覧が他の回答者からも参照できるようにリンクが生成されてしまうというものです。
設定ミスはクラウドサービスを利用する側の責任ですが、設定ミスを防ぐための機能や仕組みが提供されているクラウドサービスを選択することで、設定ミスのリスクを低減することが可能です。
また、セキュア・バイ・デフォルトの考えのもとで開発されているサービスを選択することも重要です。例えば、外部公開の設定や暗号化等のセキュリティに関する設定の初期値が、セキュリティが担保された状態になっていることで、導入時からセキュリティが確保され、設定ミスを最小限に防ぐことが可能になります

早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。セキュリティエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

セキュリティ評価プラットフォーム「Assured」は、クラウドサービスの安全性を可視化するサービスです。

国内外のガイドラインやフレームワークに基づき、クラウドサービス事業者からセキュリティ情報を収集。専門家がリスクを評価し、データベース化しています。評価情報は開示申請だけで最短、即日で確認可能。海外のクラウドサービスも評価でき、未掲載のサービスは代行調査も承ります。

セキュリティ評価情報は、最新の評価に更新次第、通知されるため、定期監査にもうってつけ。セキュリティ評価にお悩みの方はぜひ、資料をダウンロードし詳細をご確認ください。

Assured

クラウドサービスの安全性を可視化する
セキュリティ評価プラットフォーム

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

関連記事

Seminar

開催予定のセキュリティセミナー

Ranking

人気記事ランキング

Tag

タグ

Assuredとは?

Assured(アシュアード)は、クラウドサービスの安全性を可視化する、セキュリティ評価プラットフォームです。最短即日でご覧いただけるセキュリティ評価情報や、クラウドサービスが取得している認証などを一元化したデータベースにより、貴社のDXを加速します。

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

Assured

クラウドサービスの安全性を可視化するセキュリティ評価プラットフォーム