はじめに

　既に「クラウドファースト」は当たり前になっており、新規システム構築はもちろんのこと、既存システムの移行先としてパブリッククラウドを採用するケースも増えています。これに伴い急増しているのが、クラウド設定の不備に起因するセキュリティインシデントです。ここでは具体的なインシデントを取り上げ、どのような設定不備が考えられるのかを解説した上で、このようなインシデントを未然に防ぐ方法を考察します。

▼ 目次
１．増大する「クラウド設定不備」によるインシデント
２．「クラウド責任共有モデル」にもとづくユーザーの責任範囲
３．適切なクラウド設定を維持し続けることは極めて困難
４．ぜひ活用したい「クラウドセキュリティ設定診断」、その3つのメリット

１．増大する「クラウド設定不備」によるインシデント

　近年、クラウド設定の不備によって発生するセキュリティインシデントが、数多く発生するようになっています。

　例えば2023年5月には、大手自動車メーカーのグループ会社が「顧客情報を含むデータの一部が外部からアクセスできる状態にあった」ことを発表しました。この事案では実際の情報漏洩はなく、ネット上での二次利用・二次被害も確認されていないとされていますが、外部からのデータアクセスが可能だったというのは、かなり深刻な問題だと言えます。

　また2023年12月には、数多くのコンテンツサービスを提供する著名企業が「クラウドサービス上で作成した個人情報を含むファイルがインターネット上で閲覧可能な状態にあった」ことを発表。ファイル数約4千件、個人情報件数約96万件が、漏洩した可能性があると述べています。

　この2つは最近の代表的な事案に過ぎません。独⽴⾏政法⼈情報処理推進機構（IPA） 産業サイバーセキュリティセンターが2023年7月に公開した「クラウドセキュリティ ～設定ミスとの付き合い方～」※1は、日本国内・海外を問わず、既に数多くのインシデントが報告されていると指摘しています。その中には、1億件を超える個人情報が漏洩した事例や、75万件を超える出生証明書が漏洩した米国連邦政府の事例、仮想通貨のマイニングに計算資源を不正利用されたTeslaの事例なども含まれています。

• ※1　「クラウドセキュリティ ～設定ミスとの付き合い方～」
  https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/t6hhco000000vx75-att/t6hhco000000vxj1.pdf

２．「クラウド責任共有モデル」にもとづくユーザーの責任範囲

　これらの事案で着目したいのは、クラウドサービスの脆弱性が原因ではなく、利用企業・組織の設定不備に起因する問題だということです。クラウドサービスの採用検討を行う際には、セキュリティ要件を細かく検証してから正式採用するケースが多いはずです。しかしいくら堅牢なサービスを採用しても設定に不備があれば、十分なセキュリティの確保は不可能です。

　それでは具体的に、どのような設定不備が情報漏洩につながるのでしょうか。冒頭の2つの事案は、いずれもオンラインストレージの設定ミスが原因だと考えられます。オンラインストレージは社外からのファイルアクセスやファイル共有に便利な機能ですが、閲覧権限の設定を適切に行わないと、外部から自由に参照できてしまうという危険性があります。

　この他にも、以下のような不備が考えられます。

• ユーザーアカウントの権限設定の不備
• 退職者などのアカウントの放置（ID管理の不備）
• ユーザー認証の設定不備
• 不正操作などを検知するためのロギング設定の不備
• 許可なく利用されているクラウドサービスの放置
• ネットワークサービスやセキュリティサービスの設定不備

　また最近のクラウドサービスは高機能化していることもあり、管理者が行うべき設定項目も増えています。これも、設定不備を起因とした情報漏洩事故が多発している理由の1つだと言えます。

　ここで重要なことは、これらの適切な設定は、クラウドベンダーではなくユーザー側の責任だということです。既に多くの方がご存知だと思いますが、これをクラウドサービスの「責任共有モデル」と言います。

図 1. クラウドサービスにおける責任共有モデル

　例えばSaaSを実現する要素としては、データセンター施設や電源、ネットワーク、ハードウェア、仮想環境、OS、ミドルウェア、データ、アプリケーションがありますが、これらのうちアプリケーションの設定とデータの管理はユーザー側の責任となります。その中には当然ながら、アカウント管理やアクセスコントロール、データ保護が含まれています。

　IaaSになれば、ユーザーの責任範囲はさらに拡大します。データやアプリケーションはもちろんのこと、DBサーバーやWebサーバー等のミドルウェアの設定、OSの設定、仮想環境の設定までもがユーザーの責任になるのです。

３．適切なクラウド設定を維持し続けることは極めて困難

　例えば、情報システム部門の担当者を装ったソーシャルエンジニアリングによって、ユーザーアカウントが流出した場合を考えてみましょう。このアカウントによる不正アクセスが原因でランサムウェアに感染した場合には、ユーザー側の責任となります。ユーザー側の管理者はアカウントの不正利用を防止するために、不審なアカウント利用を検知できる設定や、それに基づくアカウントの停止やパスワードの強制変更などを行わなければなりません。

　脆弱なユーザー認証が原因でアカウントの不正利用が発生した場合も、ユーザー側の責任となります。既にほとんどのクラウドサービスが多要素認証を導入していますが、これを強制適用する設定を行うことで、不正利用を未然に防ぐべきだと言えます。

　もちろんクラウドストレージの権限設定不備で情報が漏洩した場合も、ユーザー側の責任となります。不用意にデフォルトのままユーザーに使わせるのではなく、組織のセキュリティポリシーに合った設定を行った上で利用させるべきです。またMicrosoft Teamsのような情報共有・コミュニケーションツールでチームを作成する場合には、プライベートチームにすることを原則にし、パブリック設定は例外的なものに限定した上で、適切な監視を行うべきだと言えるでしょう。

　セキュリティを確保するために考慮すべき設定項目は、他にも膨大に存在します。そのため設定不備が見逃されてしまうことも、決して少なくないのです。

　またクラウドサービスには新たな機能が次々に追加されており、既存機能の内容も時間経過と共に変化することが少なくありません。これには、最新技術の提供や既存機能のバグ改修が迅速に行われる、という大きなメリットがありますが、適切な設定内容を維持することを難しくする要因にもなっています。いったん適切な設定を行ったとしても、それがいつまでも適切なままであるとは限らないのです。

　さらに、担当者が勝手に設定を変更してしまうといった人為的なミスによって、データ暗号化の解除、管理ポートに対するアクセス制御設定の戻し忘れ、データストレージの公開、といったことが発生する危険性もあります。これらも設定不備を誘発する大きな原因になっています。

４．ぜひ活用したい「クラウドセキュリティ設定診断」、その3つのメリット

　そこでお勧めしたいのが「クラウドセキュリティ設定診断」の活用です。これは外部の専門家が、クラウドセキュリティ設定の診断を行い、その結果をレポートするというものです。

　外部の診断を活用することには、大きく3つのメリットがあります。

図 2. クラウドセキュリティ設定診断の3つのメリット

１．自社だけではカバーできない専門知識を利用できる

　クラウドサービスは常に進化しており、その最新状況や適切な設定内容をフォローし続けるのは、決して簡単ではありません。情報システム部門の担当者がクラウドを使い慣れているとしても、その知識は短期間で陳腐化する危険性があります。しかも、セキュリティに対する考え方や設定項目、適切な設定内容は、クラウドサービス毎に異なります。最近では複数のクラウドサービスを利用することが当たり前になっており、これら全てを熟知することは、極めて困難だと言えるでしょう。「クラウドセキュリティ設定診断」を提供する社外の専門家であれば、最新のクラウド知識にもとづく診断が可能になるため、このような問題を簡単に解決できます。

２．社内担当者の「思い込み」を排除できる

　セキュリティはたった１つの穴があっても台無しになってしまうため、網羅的な診断が不可欠です。しかし自分自身が構築・運用するシステムに対して、担当エンジニアが不合理な「思い込み」を持つことは少なくありません。人間は日常的な判断において、これまでの経験や固定観念に従ってしまう「認知バイアス」の影響を受けやすいからです。例えば「この設定は既に行っているから問題なし」「これまで問題が発生していないのだからこれからも大丈夫」と思ってしまうのも、認知バイアスゆえの判断だと言えます。これに対して第三者は「岡目八目」と言われるように、当事者よりもかえって物事の本質がよく見える傾向があります。たとえ社内に高度な専門知識を持つ担当者がいたとしても、自分のシステムは自分で診断するのではなく、第三者に診断してもらうべきなのです。

３．社内担当者の時間を節約できる

　そしてもう１つ重要なメリットが、社内担当者の時間を節約できることです。最近の情報システム部門はこれまでのシステム運用に加え、DX推進のための環境整備にも追われています。しかもIT人材は逼迫しており、特にクラウドに詳しいセキュリティ人材の新規採用は、絶望的な状況です。限られた社内のIT人材が本来の業務に集中するためにも、第三者による診断を積極的に活用すべきなのです。

　なお総務省は2022年10月に「クラウドサービスの利用・提供における適切な設定のためのガイドライン」※2を公開していますが、その中の「Ⅲ．３．１．２ 【基本】設定項目の管理（p49）」の「ベストプラクティス」でも、「外部の設定値診断サービス等を活用して定期的に設定値の診断を行う。（予防的措置）」を挙げています。外部のセキュリティベンダーなどを活用したクラウド設定の診断は、決して特別なことではないのです。

• ※2　「クラウドサービスの利用・提供における適切な設定のためのガイドライン」
  https://www.soumu.go.jp/main_content/000843318.pdf

まとめ

　本記事のポイントをまとめると以下のようになります。

• 近年、クラウド設定の不備によるセキュリティ事案が増えている。その中には1億件を超える個人情報が漏洩したケースもある。
• セキュリティインシデントにつながる設定不備としては、様々なものが考えられる。最近ではクラウドサービスの高度化に伴い、以前に比べて設定項目も増えている。
• クラウドサービスには「責任共有モデル」があり、これらの設定不備はユーザー側の責任となる。特にIaaSの場合には、ユーザー側の責任範囲が広いため、設定項目も増えることになる。
• その一方で、クラウドサービスは新機能が続々と追加されており、時間と共に設定項目が増える傾向がある。また、担当者が勝手に設定を変更する、バージョンアップに伴い設定内容がデフォルトに戻ってしまう、といったことも生じるため、適切な設定内容を維持し続けるのは難しい。
• この問題を解決するために活用したいのが「クラウドセキュリティ設定診断」。第三者による診断には、大きく3つのメリットがある。

1. 自社だけではカバーできない専門知識を利用できる
2. 社内担当者の「思い込み」を排除できる
3. 社内担当者の時間を節約できる

• 「外部の設定値診断サービス等の活用」は、総務省のベストプラクティスとしても明記されている。

　より詳細な情報を入手したいお客様はぜひ弊社にお問合せください。