AWS・GCP・Azureなどのパプリッククラウドにおける設定ミス診断プラットフォームを展開し、重大な事故につながる隠れたリスクを早期発見へとつなげる Cloudbase は、2023年7月1日~9月31日までに公表された、被害規模1000件以上のおもな個人情報漏洩事件にもとづき、『クラウドサービスに起因するセキュリティインシデントレポート』を公表。
設定ミスによるインシデントを防ぐための対応策と考察について、こうレポートしている。
サイバー攻撃は増加傾向で高度化
日本国内の大企業は、DX推進や、コスト削減の観点で、クラウドサービス利用率を急速に高め、とくに資本金が50億円以上の大企業においては、半数以上がクラウドサービスを導入している(※1)。
普及した大きな要因としては、クラウドサービスが自社内にシステムを所有し運用するオンプレミス型のサービスと比較し、初期コストが低く容易に運用を行えることが挙げられる。
いっぽうで、個人情報の流出をともなうセキュリティインシデントが後を絶たない。
2012年以降の11年間の累計で、日本の人口に匹敵する1億2500万人分の個人情報が漏洩したとされている(※2)。
直近では、2023年7月1日から2023年9月31日における事故件数が27件で、漏洩した個人情報は合計で917万人にのぼった(※3)。
クラウドサービスに起因する情報漏洩事案
今回調査対象とした27件の個人情報漏洩事案のうち、2件がクラウドサービスに起因する事案である可能性が高いことが判明。2つの事案で合計10万3438件もの個人情報が流出。
この10万3438件もの個人情報は、クラウドサービスにおける正しい設定によって防御できた可能性が高いと考えられる。
設定ミスによるインシデントを防ぐための対応策
クラウドサービスに起因するインシデントを防ぐためには、クラウド上に構築したシステムのセキュリティを確認し、常に安全な状態に保ち続けることが重要。
総務省による「クラウドサービス利用・提供における適切な設定のためのガイドライン」の基本方針「クラウドサービス利用におけるガバナンスの確保」(※4)では、企業や組織におけるクラウド利用方針やガバナンスを集中的に行う役割として CCoE(Cloud Center of Excellence)を設置し、組織横断的にクラウドの管理をすべきと提言している。
さらに、クラウド上の各種システムの「今」の状態を確認し、設定ミスや脆弱性などを検証してセキュリティを担保する CSPM(Cloud Security Posture Management)を用いて、継続的なセキュリティチェックや、クラウドサービスの運用の実態を把握することが重要と考えられる。
◆ Cloudbase
https://cloudbase.co.jp/
(出典)
※1 キヤノンエスキーシステム株式会社「統計から見る!企業のクラウドサービス利用状況」
https://www.canon-esys.co.jp/dayone/resource/900/
※2 警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf
※3 株式会社セキュアオンライン「個人情報漏洩事件・被害事例一覧」
https://cybersecurity-jp.com/leakage-of-personal-information
※4 総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」
https://www.soumu.go.jp/main_content/000843318.pdf
