全4130文字

 SaaSなどのクラウドサービスからの情報漏洩が後を絶たない。例えばクラウドストレージに保存しておいた個人情報などが流出し、第三者に閲覧されてしまうといった事故が頻発している。

 こういった情報漏洩事故の原因として最もよく挙げられるが「設定ミス」である。設定ミスというと、担当者の怠慢や注意不足によって引き起こされると思いがちだ。もちろんそれらによることもあるが、スキルがあり注意深い管理者でも不適切な設定をしてしまうことがある。クラウドサービスの設定は多岐にわたり複雑だからだ。

 さらに、近年では多くの企業が多数のクラウドサービスを利用している。サービスごとに設定項目は異なり、最適な設定も異なる。管理者の負荷は増すばかりだ。

 そこで登場したのが「CSPM」という仕組みだ。今回はクラウドサービスにおける設定ミスの現状とCSPMについて解説する。

公開設定のミスで情報漏洩

 情報漏洩につながる設定ミスの代表例は、社内向けサービスの公開設定をパブリック(公開)にしてしまうことだ(図1)。本来は社内の特定の利用者しかアクセスできないようにすべきなのに、設定が不適切だと誰でもアクセスできてしまう。その結果、個人情報などの重要な情報が第三者の手に渡ってしまう。

図1●設定ミスによる情報漏洩が頻発
図1●設定ミスによる情報漏洩が頻発
SaaSからの情報漏洩事故が相次いでいる。主な原因の1つは、情報の公開(共有)やアクセス権限などの設定の不備。
[画像のクリックで拡大表示]

 第三者に悪意がある場合には、漏洩した情報がインターネット経由で拡散される恐れもある。

 また、アクセスできることやアクセス方法がSNSなどで拡散されて被害が拡大することも少なくない。

 設定ミスに起因する事故では、多くの場合クラウド事業者は利用者に問題があるとの立場を取る。設定によっては意図せずデータが公開されるとしても、それはクラウドサービスの脆弱性ではなく、利用者が適切に設定していないのが原因だとする。

 クラウドサービスの大きな利点の1つは運用を事業者に任せられるということだが、設定については利用者側がサービスの機能や設定を理解して自衛する必要があるのだ。