クラウドサービスの「ヒヤリ・ハット」はこれ！　情シス担当の約半数が情報漏えいの危機などを経験

アシュアード（東京都渋谷区）は8月16日、情報システム部門の担当者を対象にSaaSなどのクラウドサービスを利用した際に、実際に発生したことのある事例トップ10をまとめた。

最も多かったのは「社内限定公開のつもりが社外からもアクセス可能」に設定

調査結果によれば、情報システム部門に所属する人の半数に当たる51.3％で、情報漏えいの危機やサービス提供に支障をきたす可能性がある事例が発生していたことが明らかになった。

最も多かったのは、クラウドサービスのアクセス権限の設定ミスにより、意図せず社外からもアクセス可能になっていたという事例だ。

同社によれば、クラウドサービスの設定ミスによるインシデントを防ぐには、クラウドサービスの設定環境や制御方法、責任範囲を確認することが重要。クラウドサービス事業者側のセキュリティ対策に頼るだけでなく、利用者側の責任で実施すべきことがあるという認識を持ち、レビューや定期点検といって設定ミスを防止・検知するための対策を実行することで設定ミスの発生や社外への情報漏えいを防ぐことができるようになるという。

クラウドサービスの仕様変更によって、アクセス権限の設定が変更される事例もあり、同社は「仕様変更に関するクラウドサービスからの通知タイミングや方法について事前に確認する必要もある」としている。

クラウドサービスを利用した際に実際に発生したリスクの事例は以下の通り。