クラウドサービスの設定ミスを引き起こすリスクの実態調査(セキュリティ評価プラットフォーム「Assured」)
〜半数以上がアクセス権限設定の仕様変更通知なし。クラウドサービス利用企業は設定ミスのリスクを低減できるサービス選定が必要〜
Visionalグループの株式会社アシュアード(所在地:東京都渋谷区/代表取締役社長:大森 厚志)が運営するセキュリティ評価プラットフォーム「Assured(アシュアード)」(https://assured.jp/)は、クラウドサービスの機能や権限に関する設定について、Assured独自データによる調査結果を公開します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
<結果サマリー>
・半数以上が、アクセス権限設定の仕様を変更する場合の事前通知を実施せず
・約3割が、他サービスとの連携機能の使用可否を利用者の管理者権限で設定不可。他サービスとの連携は情報漏えいリスクに繋がりかねないため管理者権限での設定が推奨される
・約2割が、預託データの外部公開機能の使用可否を利用者の管理者権限で設定不可。多くのサービスで適切な対策がされているものの、リスクがあるサービスも一定存在
・約半数で、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できず。インシデント発生時の調査や確認のためログ確認は重要
調査背景
昨今、企業のクラウドサービス利用が拡大している一方、利用しているクラウドサービスの設定ミスによる情報漏えい事故も増加しています。
クラウドサービスの責任共有モデルに定義されるように、SaaSのアクセス管理は利用者責任になります。クラウドサービスによっては、アクセス管理に関する通知や機能の提供が十分ではないこともあるため、適切な対策が施されているかを利用企業側が確認することで、設定ミスによる情報漏えいを防いだり、発生した場合の被害を最小限に留められる可能性が高まります。
そこでこの度、クラウドサービスの機能や権限の設定をAssured独自データ(Assuredがセキュリティ評価を実施したクラウドサービス)からまとめ発表します。
結果概要
1. 半数以上のクラウドサービスが、アクセス権限設定の仕様を変更する場合の事前通知を実施せず
半数以上にのぼる54.9%のクラウドサービスが、アクセス権限設定の仕様を変更する場合の事前通知を実施していないという結果になりました。アクセス権限が知らない間に拡大されるような変更は昨今考えにくいですが、新たなアクセス権限ができることでより詳細なアクセス権限が設定可能となる仕様変更は多いと想定されます。
ゼロトラストで重要な最小権限の原則を適用するために、利用しているSaaSのアクセス権限の仕様変更を把握し、適宜アクセス権限の付与を見直すことを推奨します。
アクセス権限設定の仕様変更を事前に通知するサービスにおいて、通知するタイミングや通知方法は様々です。
<主な通知タイミング>
・3か月前
・2か月前
・1か月前
・2週間
・1週間
通知されるタイミングが遅いと検討や見直しをする猶予がないため、事前の通知タイミングが遅いサービスについては留意できるようにマニュアル等に注意点として記載することを推奨します。
<主な通知方法>
・サポートサイトで通知
・リリースノートで通知
・システム内のお知らせで通知
・メールで通知
・X(旧Twitter)で通知
・電話で通知
・メール通知とサポートサイトで通知
メール通知や電話といったプッシュ型の通知以外は、利用者が能動的に確認しないと気付くことができないため、定期的に確認を行う体制やプロセスを構築し、マニュアルに記載する必要があります。
2. 約3割が、他サービスとの連携機能の使用可否をサービス利用者の管理者権限で設定不可
他サービスと連携する機能があると回答したクラウドサービスの内、30.7%が他サービスとの連携機能の使用可否をサービス利用者の管理者権限で設定ができないという結果になりました。
他サービスとの連携が必須の場合は問題ないものの、他サービスとの連携が不要であれば、情報漏えいのリスク回避のために他サービスとの連携機能は利用不可にすることを推奨します。
また、一般の利用者が連携機能を勝手に利用できないように、管理者が設定できるアクセス管理機能が提供されていることが重要です。
3. 約2割が、預託データの外部公開機能の使用可否をサービス利用者の管理者権限で設定不可
預託データを公開または外部ユーザへ共有する機能があると回答したクラウドサービスの内、22.1%が外部公開機能の使用可否をサービス利用者の管理者権限で設定ができないという結果になりました。
他サービスとの連携機能の使用可否と同様に、利用しない機能は利用できないようにすることがリスクを回避するための重要な対策になります。従業員に対する教育や設定時のダブルチェックを実施したとしても、設定ミスは0にならないため、利用する状況に合わせてリスクを低減させるための対策を実施することを推奨します。
4. 約半数で、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できず
約半数の50.9%のクラウドサービスで、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できないという結果になりました。
ログイン履歴や操作ログは、設定ミスがあった時の調査や原因究明に必要な情報です。インシデント発生時や必要に応じてログを提供するサービスもありますが、提供までに時間を要することが想定されます。
そのため、早期の調査や原因究明のためには、サービス利用者自身がログを確認できる機能が必要になります。
インシデント発生時に早期対応が行えるように、利用しているクラウドサービスのログを利用者が確認できるか、確認できない場合にはログの提供可否や問い合わせ窓口等の情報を把握しておくことを推奨します。
<調査概要>
・調査件数:調査項目により異なる(各グラフ画像内に記載)
・調査日:2024年5月23日
・調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。
Assuredセキュリティ評価責任者 早崎 敏寛による考察
クラウドサービスは気軽に利用できるため、設定値の内容に対する理解が浅いまま誤った設定をしてしまうことが多く、情報漏えいなどのインシデントに繋がるリスクがあります。
よくある設定ミスの事例として、アンケートの回答が他の回答者に共有されてしまったというものが挙げられます。設定項目の内容を正しく理解せず、良かれと思って設定したら、回答内容の一覧が他の回答者からも参照できるようにリンクが生成されてしまうというものです。
設定ミスはクラウドサービスを利用する側の責任ですが、設定ミスを防ぐための機能や仕組みが提供されているクラウドサービスを選択することで、設定ミスのリスクを低減することが可能です。
また、セキュア・バイ・デフォルトの考えのもとで開発されているサービスを選択することも重要です。例えば、外部公開の設定や暗号化等のセキュリティに関する設定の初期値が、セキュリティが担保された状態になっていることで、導入時からセキュリティが確保され、設定ミスを最小限に防ぐことが可能になります。
【セキュリティ評価プラットフォーム「Assured(アシュアード)」について】
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を
示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。
X(旧Twitter):https://twitter.com/AssuredJP
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティシステム・Webサイト・アプリ開発
- 関連リンク
- https://assured.jp/
- ダウンロード
- プレスリリース素材
このプレスリリース内で使われている画像ファイルがダウンロードできます
