クラウド上のセキュリティリスク(組織編)

企業でもクラウドサービスの利活用が一般的になってきた一方で、漠然と「クラウドサービスはよくわからないし、セキュリティ的に危険そうだから」といった印象をお持ちになっている方も多いのが現状ですが、クラウドサービスが有している具体的なリスクを知ることができれば、より建設的な議論ができるのではないでしょうか。

その一歩として、ENISA(欧州ネットワーク情報セキュリティ機関)発行の “Cloud Computing: Benefits, risks and recommendations for information security” に記載されている、クラウド上の様々なリスクをご紹介します。

この文書では、組織に関するリスク(7個)技術に関連するリスク(13個)法律に関するリスク(4個)という3つのカテゴリに分けて、計24個のリスクが紹介されています。

また、この文書は、ISO27017において、リスク分析を実施するための参考文献として紹介されている信頼性のおける内容となっており、クラウドに関わるご担当者様にはご一読をおすすめします。

今回は、組織に関するクラウド上のセキュリティリスク(7個)をご紹介します。

index

  1. ロックイン
  2. ガバナンスの喪失
  3. コンプライアンスの課題
  4. 他の共同利用者の行為による信頼の喪失
  5. クラウドサービスの終了または障害
  6. クラウドプロバイダの買収
  7. サプライチェーンにおける障害

(1) ロックイン

早速ですが、クラウドサービスを利用して数年がたったある日、とても新しくて便利なクラウドサービスが低価格で市場に登場してきた時のことを考えてみてください。
機能も価格も申し分がないため、今すぐにでも、新しいサービスに乗り換えたいと思うのですが、クラウドサービスの乗り換えはそう簡単には行きません。

まず、サービスを乗り換えるために、今までクラウドサービスに預けていたデータを取り出す必要があります。
そのためには、利用していたクラウドサービスに、データをダウンロード(出力)する機能が必須ですが、それらのサービスに同機能が備わっているかは、各利用者が自らの責任で確認しなくてはなりません。

幸いなことに、そのダウンロードする機能があったとしても、ダウンロードしたデータの形式が、新しいクラウドサービスに対応した形式である必要があります。
よくわからないファイルフォーマットで出力されても、新しいサービスにインポートすることができません。

さらには、新しいサービス上においても、データを一括でインポートする機能があることが必要です。

これらの機能がない場合は、最悪のケースとして、自社でエクスポート/インポート機能を実装する、またはひたすらに人海戦術でデータ移行を試みる必要も出てきます。

また、さらなるリスクとしては、クラウドサービスの提供会社が急に倒産したり、サービス提供を急に停止したりする場合です。
このような場合は、データの取り出しそのものが難しくなり、自社の業務が一時的に停止する危険性すら生じます。

このように、クラウドサービスの乗り換えには多くのコストがかかるため、いったん導入したクラウドサービスを簡単に移れない、さながら囲い込まれている様を「ロックイン」と表現しています。

(2) ガバナンスの喪失

自社が、IaaS型のクラウドサービス(例:Amazon Web Services)によって提供される仮想サーバを利用して、Webサービスを構築するケースを考えてみてください。

セキュリティに責任を追うポジションの方であれば、新しく構築したシステムは、いきなり市場展開するのではなく、セキュリティ上の問題がないことを確かめるために、擬似的なクラッキングを仕掛ける侵入テスト(ペネトレーションテスト)を実施したいと考えるのではないでしょうか。

ただ残念ながら、先ほど例に挙げた「Amazon Web Services」の一部のサーバは、サーバへの負荷を理由に、サービス利用者が侵入テストを実施することを許可していません。
しかし一方で、同サービスは、仮想サーバ上におけるシステムのセキュリティ対策は、利用者側の責任で実施するように求めています。

このように、クラウドサービスの提供側と、利用者である自社との間における契約上の都合や利用規約によって、セキュリティに関する一部の管理が行き届かなくなってしまうことを、「ガバナンスの喪失」と呼んでいます。

(3) コンプライアンスの課題

「PCI DSS」というクレジットカード情報の保護に関する基準が存在します。
クレジットカード情報を悪意ある第三者に知られると、通常の個人情報漏えい以上に被害が大きくなる可能性から、同基準においては、準拠する企業に様々な要件の順守を厳格に求めています。

ここでは、自社がクレジットカード情報を取り扱う企業で、PIC DSSに準拠しており、そのために、自社のシステムや利用マニュアルも、一般水準以上に厳格に運用されていると仮定しましょう。

例えば会員情報を管理するために、何かしらのクラウドサービスを導入しようと考え、十分な下調べをせずに利用するクラウドサービスを選んでしまった場合、自社のルールやPCI DSSに違反してしまう可能性があります。

一方で、利用したいクラウドサービスが、自社のルールやPCI DSSに適合しているのかをリサーチするのは、専門的な知識を要するケースが多い上、かなりの作業工数がかかってしまいます。

このように、利用したいクラウドサービスにおける自社基準への適合状況を調査することの困難さや、リサーチ不足によって知らず知らずルール違反となるクラウドサービスを導入してしまう危険性を、「コンプライアンスの課題」と総称しています。

(4) 他の共同利用者の行為による信頼の喪失

クラウドサービスを利用する場合は、しばしば、自社のデータが他社のデータと同一のサーバ内に保管される場合があります。
ここでは、同じサーバにデータを保管している他社を「共同利用者」と呼ぶことにしましょう。

仮に、共同利用者が、システム運用に関する法律違反を起こして、捜査当局が共同利用者のデータを捜査する事態が発生したとします。
この時、自社のデータと共同利用者とのデータが適切に分離されていなければ、場合によってはサーバごと押収されてしまい、自社のデータに長期間アクセスできなくなる、もしくは、場合によってはデータ自体が喪失してしまうリスクが生じます。

日本国内では、そこまで強引な捜査は考えにくいのですが、クラウドサービスの場合、自社のデータが海外のサーバに保管されているケースも少なくありません。
その場合、よく考えると当然なのですが、海外の捜査当局は海外の法律に従って手順を進めるため、決して日本国内における常識や社会通念は通用しません。

このように、たとえ自社に後ろめたいことがなかったとしても、共同利用社の不正や嫌疑によって、自社サービスの運営や事業継続を揺るがしかねない事態が生じることを、「他の共同利用者の行為による信頼の喪失」と呼びます。

(5) クラウドサービスの終了または障害

上記(1)「ロックイン」でも少し触れましたが、自社が利用しているクラウドサービスを提供する企業が、急にサービス提供を中止したり、サービスの規模を縮小したりする可能性があります。
そのような場合、当たり前ですが、当該企業のサービスが利用できなくなり、業務に大きな影響が生じます。

また、例えばIaaS型クラウドサービスの仮想サーバ上にシステムを構築し、エンドユーザーにサービスを提供していた場合を考えてみてください。

仮想サーバを提供する企業が急にサービスを終了した場合、そもそものサービス維持が困難になり、エンドユーザーに多大な迷惑をかけ、結果として企業の信頼が大きく失墜してしまいます。
場合によっては、自社が原因でサービス停止に至ったわけではないにも関わらず、エンドユーザーから損害賠償を請求されたり、社会的な責任を追求される可能性があります。

このように、自社の業務継続や運営しているサービスの根幹を揺るがしかねないリスクとして、「クラウドサービスの終了または障害」が挙げられています。

(6) クラウドプロバイダの買収

ここで述べている「クラウドプロバイダ」とは、自社が利用するクラウドサービスの提供元を指します。
クラウドサービスの提供元も一企業ですから、買収や合併などによって、企業の経営方針が大きく変化することがあります。

企業が買収され、経営方針が変化すると、自社が利用しているクラウドサービスの運営に影響が及ぶ危険性も否定できません。
具体的には上述したサービス自体の終了や一部機能の縮小、有料化、セキュリティに対する取り組みの変化、表示されるインターフェイスの変化などが考えられます。

セキュリティに対する取り組みの変化は、自社が預けているデータを危険に晒す可能性がありますし、機能の変更やインターフェイスの変化は、社内業務フローの変更や、従業員の誤操作をもたらす可能性があります。


より使いやすいサービスに生まれ変わるというプラスのメリットであれば歓迎するのですが、利用者側にとって好ましからぬ変化も多分に考えられます。
特に、IT系のベンチャー企業などは買収・合併などが盛んなため、サービス利用時には、リスクとして捉えておくことが必須であると言えるでしょう

このように、クラウドサービスを提供する主体の経営方針やサービス品質に影響を及ぼしかねないとして、「クラウドプロバイダの買収」がリスクとして明記されています。

(7) サプライチェーンにおける障害

クラウドサービスは、提供する企業内のみでサービスが完結している訳ではなく、サービス開発・提供に関する一部業務を外部の会社に委託しているケースも珍しくありません。

例えば、SaaS型のクラウドサービスを提供している企業は、当該サービスを提供するために、IaaS型のクラウドサービスであるAmazon Web Servicesの仮想サーバを利用しているかもしれません。

このとき、クラウドサービスそのもののセキュリティレベルは、クラウドサービスを提供している企業単独でのセキュリティレベルだけではなく、Amazon Web Servicesのセキュリティレベルにも依存することになります。

つまりは、どれだけサービス提供元が堅牢なセキュリティ対策を実施していたとしても、業務委託先の会社でセキュリティインシデントが発生すると、自社のデータが流出したり、データにアクセスできなくなったりする可能性があるということです。

委託先管理を適切に実施していない会社のクラウドサービスを利用する場合は、そのようなサプライチェーンにおける障害発生のリスクも考慮する必要があります。

また、SNSの隆盛に伴い、SSO(シングルサインオン)技術を導入して、ID管理を外部サービスに依存しているクラウドサービスも少なくありませんが、そういったサービスでは、外部サービスのセキュリティレベルも自社のサービス運営に影響することを把握しておく必要があります。
例えば、Twitterのアカウントを用いてログインできるクラウドサービスの場合、当該のサービス自体に万全のセキュリティ対策を実施していたとしても、TwitterのログインIDやパスワード管理に不備があった場合、不正にログインされてしまうリスクも考えられます。

このように、何かしら自社サービス運営や業務遂行に関わる外部企業などにおけるインシデント発生のリスクを「サプライチェーンにおける障害」と呼んでいます。

組織に関するクラウド上のセキュリティリスクは以上となります。
クラウド上における他分野のセキュリティリスクを知りたい方は、下記もご覧ください。

ISMS/ISO27001新規取得に関する無料相談・お見積り

ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。
ISO27017認証取得コンサルティングへのお問い合わせフォームはこちら

ページの先頭へ戻る