IPA「情報セキュリティ白書2024」を解説

2024年7月30日に情報処理推進機構（IPA）から「情報セキュリティ白書2024」が刊行されました。 情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックを取り上げている資料となっています。今回はその中でも「クラウドのセキュリティ」のトピックについて、弊社の調査事例も交えて解説します 。

クラウドサービスの利用状況

情報処理推進機構（IPA）「情報セキュリティ白書2024」P192から抜粋

白書では、SaaS導入企業が2023年度は6割を超え、実際に導入した企業では8割以上が効果を実感しているという調査結果が紹介されており、クラウドサービスの普及について「クラウドサービスの利用はもはや特別な選択肢ではなく、定着しつつあると思われる」と言及しています。

クラウドサービスにおけるインシデント事例

クラウドサービス活用が推進される一方で、セキュリティインシデントも発生しており、白書では下記のような事例を取り上げていました。

（1）設定ミスによるインシデント事例
　　（a）SaaS利用時の設定ミス
　　（b）IaaS/PaaS利用時の設定ミス
（2）サイバー攻撃によるインシデント事例
　　（a）パスワードリスト攻撃
　　（b）ランサムウェア攻撃の事例
　　（c）業務委託先経由のサイバー攻撃の事例
（3）広域インフラ障害のインシデント事例
　　（a）グローバルIaaS/PaaSの大規模障害
　　（b）通信障害

クラウドサービス利用時におけるクラウドサービス事業者と利用者側の責任範囲については「責任共有モデル」が定義されており、「アカウント管理」や「アクセス制御」等に関して適切な設定を行い、安全にサービスを利用することは利用者側の責任となります。
例えば、今回のインシデント事例「(a)SaaS利用時の設定ミス」については、Assuredでも実態調査（※1）を行っており、半数以上がアクセス権限設定の仕様変更時に事前通知をしていない等の実態も明らかになっています。

また、このようなインシデントが発生する背景について、白書では「社内のセキュリティ担当の目の届かないところでも容易に導入できてしまうSaaS の手軽さがあると推察される。また、クラウドサービスの性質上、サービスの機能やデータには一般にインターネットを経由したアクセスが可能であるため、これが漏えいの可能性とも結び付く」と言及しています。会社の許可なく利用されているクラウドサービスは「シャドーIT」と呼ばれ、情報漏えい等のリスクを大きく引き上げます。Assuredの調査（※2）では、大手企業の約9️割がシャドーIT対策に課題があることが明らかになっています。

「（b）IaaS/PaaS利用時の設定ミス」については、悪意のない人為的なミスで発生する場合があります。人が作業する以上、このようなミスを無くすことはできないため、セキュリティ上の不備がある設定値が投入された場合に検知できる仕組みが必要となります。IaaS/PaaSにおける設定値を検査するソリューションとして「CSPM（Cloud Security Posture Management）」があり、こういった製品を導入していくことも対策の一つとなります。例えば、弊社サービスである脆弱性管理クラウド「yamory」（https://yamory.io/）も「クラウド設定管理（CSPM）」機能を有しています。

また、「（2）サイバー攻撃によるインシデント事例」では、「（b）ランサムウェア攻撃の事例」や「（c）業務委託先経由のサイバー攻撃の事例」についても取り上げられていました。ITサプライチェーン全体でセキュリティ水準を担保することは、攻撃が激化する昨今では必須の事項となっています。Assuredが実施したクラウドサービス事業者のランサムウェア対策実態調査（※3）では、約3割でウイルス対策ソフトが導入されておらず、バックアップ対策としてリストアテストを実施しているのは半数以下という結果が出ています。また、サプライチェーン管理の実態調査（※4）では、約6割が開発、保守・運用業務を外部委託するなか、そのうち約2割は委託先と「セキュリティ対策」や「情報の削除」を合意していないことも明らかになっています。

クラウドサービスのセキュリティの課題と対策

上記のような状況やインシデント事例を踏まえ、クラウドサービスのセキュリティに関する課題と対策について下記のような例を白書では挙げていました。

（1）サービス利用者側での対策
　　（a）パスキー認証の利用
　　（b）インフラ障害への備え
（2）サービス事業者側での対策
　　（a）パスキー認証の導入
　　（b）クラウドセキュリティ標準への準拠

パスワード認証に代わる「（スマートフォン等を用いた生体認証による）パスキー認証」の利用・導入による認証の強化が、クラウドサービス利用者・事業者双方において重要な対策であると言及されています。また、「クラウドセキュリティ標準への準拠」についても言及されており、クラウドサービス事業者側でのISO27001（ISMS）、ISO27017やSOC2等への準拠による一定のセキュリティ水準の確立が重要なポイントとなっています。

Assuredでは、「クラウドセキュリティ標準」を含む複数のフレームワークやガイドラインに基づき、クラウドサービス事業者からセキュリティ情報を収集し、弊社のセキュリティ専門家がリスク評価を行い、調査結果をレポートとして提供しています。このようなレポートを活用いただくことも有効な対策の一つになります。

※1　クラウドサービスの設定ミスを引き起こすリスクの実態調査
・半数以上が、アクセス権限設定の仕様を変更する場合の事前通知を実施せず
・約半数で、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できず。インシデント発生時の調査や確認のためログ確認は重要

※2　【2024年】最新シャドーIT対策実態調査レポート
・大手企業の半数以上が100以上のクラウドサービスを利用。1社あたり平均207サービス利用
・膨大な数のサービスを利用しているなか、6割以上がシャドーIT対策未実施。約9割がシャドーIT対策に課題あり

※3　SaaS事業者のランサムウェア対策実態
・脆弱性対策：脆弱性診断やペネトレーションテストの実施は4割以下。サーバーへのウイルス対策ソフトは33.2％が未導入
・バックアップ対策：リストアテスト実施は半数以下、バックアップデータを論理的に分離した環境に保存しているのは18.6％

※4　SaaS事業者のサプライチェーン管理の実態
・クラウドサービスの開発や保守・運用業務の外部委託：約6割が外部へ委託。その内約2割は委託先と「セキュリティ対策」や「情報の削除」を合意せず
・海外事業者への外部委託：委託先の海外事業者に個人情報を提供するクラウドサービスの3つに1つは、海外事業者に対して再委託先の「監督」や「各措置の実施の確保」を合意していない（再委託先以降のガバナンスを効かせづらい状況

解説・考察

「情報セキュリティ白書2024」にて掲載された定量データからもわかるように、導入や利用が容易なクラウドサービスの利用はますます進んでいます。クラウドサービスは便利である反面、利用者側で正しくリスクを把握し、適切な設定を投入したうえで利用する必要があるというポイントを忘れてはなりません。そういった基本動作を徹底することで、今回紹介されていたようなセキュリティインシデントが発生するリスクを低減することができます。
今後もAssuredは、クラウドサービス利用時のセキュリティ脅威から身を守り、安心・安全なクラウド活用、そして社会全体のDX推進を支えていくビジネスインフラとしてサービス向上に努めてまいります