Netpress 第2468号 【クラウドの落とし穴を防ぐ】 経営者が知っておくべき情報漏洩対策のポイント
1.クラウドの管理不備による情報漏洩は、自社の課題のひとつとして捉えましょう。
2.インシデントを100%防ぐことは不可能なため、事前の対策でスムーズに対応できるようにしましょう。
3.クラウドサービスを安全に活用するため、情報資産管理の重要性を認識し、積極的に取り組んでいきましょう。
近年、クラウドの管理不備による顧客の個人情報流出のリスクが増加しており、クラウド上での事故がビジネスにもたらす影響は無視できない状況となりつつあります。
本稿では、クラウドサービスにおけるインシデントを未然に防いだり、その被害を最小化したりするために重要なセキュリティ対策について紹介します。経営者の皆様においても、見落とされがちなクラウドサービスならではのリスクを認識いただき、トップ主導のもと対策を推進するきっかけとしてお役立てください。
1.クラウドサービスに関するインシデント事案
皆様の組織でも、オンライン会議のWebexやZoom、オフィスアプリのMicrosoft 365(OutlookやExcel、OneDriveなど)、ファイル保存や共有が簡単なDropboxなどのクラウドサービスをすでに利用されていることと思われます。
クラウドサービスは利便性が高いですが、インターネット上にデータを保管するため、利用方法を誤ると情報漏洩のリスクを伴います。
すなわち、クラウドサービスを利用する立場であっても、自社での管理不備や管理の怠慢が原因で、顧客情報漏洩などのセキュリティ事故が起きると、その責任は自社で負うこととなります。
近年では、以下のような大きなインシデント事案が発生しています。
- クラウド人事労務サービスの企業で、マイナンバーカードや免許証の画像を含む個人情報約15万人分が4年間も誰でも閲覧やダウンロードできる状態となっていた
- スマートフォン向けゲームアプリ企業で、約93万人分の個人情報が6年半にわたり、インターネット上で公開状態となっていた
どちらのケースも、アクセス権限や情報公開の設定ミスが原因であり、こうした管理不備によるインシデントは近年増加傾向にあります。
このような情報漏洩のリスクが顕在化してしまうと、企業には罰金や損害賠償の危険が生じるうえに、社会的信用を大きく損なう可能性があります。こうしたリスクを低減したり、発生してしまった場合の被害を最小限に食い止めたりするためには、事前にセキュリティ対策を行っておくことが肝要です。
セキュリティ対策を行っておくことで、管理不備を早期に発見して修正することや、セキュリティインシデントが発生した際にも迅速かつ適切に対応できる体制を整えることなどが可能となります。
2.重要なセキュリティ対策とは
クラウドサービスの情報漏洩リスクに対しては、どのようなセキュリティ対策を行うべきなのでしょうか。
たとえば、近年は利用するクラウドの設定ミスを検知する、SSPM(SaaS Security Posture Management)やCSPM(Cloud Security Posture Management)といったサービス・システムも提供されています。このような技術的対策は有効ですが、コストや運用する人員不足といった課題から、国内では大企業以外に導入が進んでいないのが現状です。
そこで、導入が困難な技術的対策に代わってお勧めするのが、比較的低コストで実施しやすい人的・組織的な対策からスタートすることです。クラウドの設定ミスに対応するための人的・組織的な対策としては、設定を行うのが自社・他社に関わらず、設定・更新時の二重チェックやチェック観点の明文化を実施することが有効です。
さらに、以下のような対策を行うことで、発生してしまった場合の被害の軽減や、潜在的な情報漏洩リスクに対しても、高い効果が期待できます。
| ① | 情報資産管理 | 情報資産管理とは、自社の保有する機器やデータといった情報資産を洗い出して、Excel、またはIT管理ツールを用いて一元管理することです。クラウドサービスの情報資産を管理するためには、まず利用しているサービスを洗い出して、データの内容と所在やアクセス権限を明確にします。 |
| ② | セキュリティポリシーの策定と周知 | 自社のニーズに合ったセキュリティポリシーを作成し、社員に周知します。セキュリティポリシーの策定には、IPA(情報処理推進機構)などの公的機関が提供するガイドラインを活用したり、外部アドバイザーを短期間利用して専門的なアドバイスを受けたりすることも有効です。 |
| ③ | モニタリングと評価 | 定期的にアクセスログをチェックして、不審な動きがないか確認し、異常があればすぐに対応します。また、セキュリティポリシーや対策を定期的に見直し、必要に応じて改善します。 |
これらのなかでも特に重要なのは、①情報資産管理でクラウドサービスを情報資産の一部として捉えることです。クラウド上の情報資産は社外に存在するため、情報資産管理が、自社が保有するシステム上のデータやシステムに限定されていないかということが確認のポイントとなります。
また、情報資産管理のなかではクラウド上のデータの場所やアクセス権限が明確になっているかを確認しましょう。クラウドサービスでは、情報の流動性が高く、データの取り扱いが複雑化しがちです。たとえば、1つの会計システムを、子会社や海外拠点と共同で利用するといった、複数の組織でデータを取り扱うケースも発生します。そのため、情報資産は定期的に見直しを行い、状況の変化に応じた柔軟な対応が求められます。
クラウドサービスを情報資産管理に含めることは、各サービスで取り扱われるデータや利用目的を明確にすることにつながり、企業は適切な管理と保護を施すことができます。これにより、クラウドサービスからのデータ漏洩や不正アクセスのリスクを大幅に低減でき、企業の信頼性を維持することにもつながります。
3.まとめ
クラウドサービスを利用していると、サービスを提供するベンダーがセキュリティ対策を実施していて、その責任もベンダーにあるという感覚を持ちがちです。しかし、クラウド管理不備による情報漏洩は、自社の課題として認識する必要があります。これはサービスや会社の信用に直結する重要な問題です。
どれだけ対策を講じてもインシデントを100%防ぐことは難しいですが、情報資産管理をしておくことで、問題が発生した際の対応がスムーズにできます。便利なクラウドサービスを安全に活用するために、積極的にセキュリティ対策に取り組んでいきましょう。
◎協力/日本実業出版社
日本実業出版社のウェブサイトはこちらhttps://www.njg.co.jp/
この記事はPDF形式でダウンロードできます
SMBCコンサルティングでは、法律・税務会計・労務人事制度など、経営に関するお役立ち情報「Netpress」を毎週発信しています。A4サイズ2ページ程にまとめているので、ちょっとした空き時間にお読みいただけます。
【SMBC経営懇話会会員限定】
SMBCコンサルティングの顧問のコンサルタントによる無料経営相談のご案内
| さくら情報システム株式会社はSMBCコンサルティング株式会社の顧問のコンサルタントです。 SMBC経営懇話会会員向けに情報システムや情報セキュリティに関する無料経営相談を受けております。 無料経営相談の申込はこちら |
SMBC経営懇話会のサービスはこちらをご覧ください
SMBC経営懇話会のご案内
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://infolounge.smbcc-businessclub.jp/soudan
関連キーワード
総務・法務 コンプライアンス・リスク対応 経営者・経営幹部・管理職 Netpress DX・テクノロジー
InfoLoungeとは
ログインでお困りの方
