Modern Times トレンドやや深堀り

Modern Times トレンドやや深堀り

(写真:ultramansk / shutterstock

情報漏洩は「ちょっとした設定ミス」で起きている

2024年6月26日(水)情報処理安全確保支援士の野口諒子氏が総務省の発行した「クラウドの設定ミス対策ハンドブック」を解説しました。内容を簡単に紹介します。

Updated by on June, 28, 2024, 3:00 pm JST

日本独特のSIerが中心文化が、現場のヒューマンエラーを招いている

クラウドの設定ミス対策ハンドブック」は、クラウドサービスを適切に設定し、安全に利用するためのガイドラインだ。クラウドサービスの普及が進む中、総務省がこのガイドブックを発行する背景には、日本独自のITカルチャーがあると考えられる。

アメリカではエンジニアがユーザー側にいて、自社で判断やカスタマイズを行うケースが多いのに対し、日本ではSIerが中心となり、多くの設定をベンダーに委託し、利用者側が詳細な理解を持っていないことが多い。

特に、クラウドサービスを利用して独自システムを開発したい場合には、SIerの関与が大きく、利用者側の理解不足が問題視されている。このハンドブックは、そうした状況を踏まえて、設定ミスやセキュリティインシデントのリスクを最小限に抑えるための手助けとなるポイントを提供している。

具体的には、設定ミスが情報漏えいやセキュリティインシデントにつながる可能性があり、企業の管理不足やヒューマンエラーが問題視されているという内容だ。このハンドブックは、そうしたリスクを回避するために、マストなポイントや設定ツールの活用方法について解説している。

今後もクラウドサービスの普及に伴い、新たな課題が生じる可能性がある。そのためにも、ユーザー側が責任を持ちつつ、適切な設定と管理を行うことが重要だ。

外部からの攻撃よりも信頼失墜につながる「設定ミス」

クラウドサービスに限らず、セキュリティインシデントは増加しており、近年ではランサムウェアの被害も横ばいが続いている。ガイドラインでは設定ミスによる情報漏洩について紹介されている。

情報漏えいなどの被害は不注意によるものであり、ランサムウェア等の外部からの攻撃による漏洩よりも、責任が問われやすく、信頼低下につながる恐れがある。

わずかな設定のミスにより個人情報が誰でもアクセス可能な状態になってしまったり、外部から指摘されるまで気づかなかったりすることがある。このような状態は管理の甘さが攻撃を誘発する可能性もある。

このハンドブックは、よくある設定ミスについて具体的にまとめてくれている。特にクラウドサービスでは、頻繁なアップデートや設定項目の増加が見逃しを招くことがある。また、組織の立ち上げ初期などではマニュアルが不足しており、その後の引き継ぎで問題が発生することもある。

さらに、組織の中での設定ミスは、担当者個人のうっかりミスではなく、組織全体の運用体制やリソース不足にも起因することがある。そのため、自動化やマニュアル作成、組織的な対応が求められる。

設定ミスが起きる状況についても説明している。実は設定ミスは「そのときたまたま」「担当者のついうっかりによって」起きるものではない。ミスが起きる条件が揃った組織や運用体制が敷かれている場合、誰でも引き起こす可能性がある。
ここでは設定ミスは、四つの観点でまとめられている。担当者、マニュアル、作業環境、組織環境だ。組織全体の忙しさやリソース不足が主な要因になると記されている。

特に、組織が立ち上がったばかりのときに一人で作業していたり、後継者への引継ぎが不十分だったりすることはよくある。
組織内で起きるミスは基本的な労働環境が最終的には問題となることがあるのだ。

「間違わないように頑張る」「気をつける」という結果に終始してしまうのでは効果は上がらない。人を責めるのではなく、仕組みの変更や可能であれば自動化することで作業を省くなどの対策が必要だ。具体的なツールを導入することも推奨されている。ツールを導入することでミスを防ぐことができる。

重要なのは責任の範囲を明らかにしておくこと

ハンドブックでは「一人情シス」や「シャドーIT」についても紹介されている。
「一人情シス」では企業内にシステムを扱える社員が一人しかいないためにミスに気づかれなかったり、専門外の業務をこなさなければならなかったりということが起きている。規模の小さい会社であれば総務部の人がIT部門を担わなくてはならないケースもあり、そのような状況下では適切なツールの導入や外部への委託を積極的に打診した方がいいということになる。

「シャドーIT」とは、社員個人の判断で許可されていないクラウドサービスの利用を利用することだと記されている。これらを避けるためには、明確なポリシーやルールの策定が必要だ。

データの暗号化や定期的なバックアップも重要だ。インシデントが発生した場合でも、迅速に対応できる体制を整える必要がある。企業としては、これらの基本的な対策を徹底することが求められる。

基本的な考えとしては、今までのクラウドサービスの利用と同じで、責任の範囲を共有しておくことが重要だ。ユーザー企業が負わなくてはならない責任、ベンダーなどの提供側が負わなくてはならない責任を明確に理解する必要がある。

何かインシデントが起きた場合、どこで何が起きたのかがわからず、説明できない状態は最悪だ。それを避けるためには、それぞれの情報資産を正確に把握し、管理することが必要だ。

インシデントはニュースで多く報道されるようになり、企業はますます厳しい対応を迫られる時代になっている。クラウドを利用する企業が増える中で、設定の誤りが多岐にわたる問題を引き起こすこともある。誰にとっても他人事ではない。基本的な観点から再確認することが重要だ。

ご視聴はこちらから
https://www.youtube.com/live/5s3cVOwcWhQ?si=ieNRHulzGPIUNjRe