クラウドの値打ち

「クラウド無法地帯」を阻止せよ--IT部門主導のクラウド活用メリット - (page 2)

戸賀慶 齋藤淳

2016-08-04 07:00

クラウド無法地帯による問題点

 実際に「クラウド無法地帯」に起因してリスクが増加、顕在化した事例をいくつか紹介しよう。

 ある企業の営業部門では、情報システム部門の関与しないところで顧客とのコミュニケーション実施のためのブログサイトを立ち上げた。その際、低コストかつ短期間で立ち上げるためオープンソースソフトウェアをパブリッククラウド上に構築し、ブログコンテンツは充実させたものの、セキュリティパッチなどのケアが必要なこと自体を認識していなかった。結果としてオープンな環境に脆弱なシステムを構築してしまい、簡単に外部からの侵入が可能となってしまっていた。

 また別の企業でも、情報システム部門の管理外において、マーケティング部門がパブリッククラウド上に十分なセキュリティ対策なしでキャンペーンサイトを立ち上げたことがあった。これによりファイヤーウォールの設定が不十分なサーバを外部に公開してしまったり、インシデント発生時の調査に必要なログがそもそも保存されていなかったりといった基本的な設定漏れが発生し、リスクが増加してしまうケースが見られた。

 このようなクラウド無法地帯に起因する課題について、筆者がこれまでに目の当たりにした中で、比較的軽微な例を以下に挙げる。

きっかけとなった業務発生した課題の内容課題発生の原因
新製品広告サイト構築・セキュリティインシデント発生時の対応フローが未定義であったため、インシデント発生時の対応が遅れ、被害が増大した
・セキュリティインシデントを検知するためのツールや体制が存在しなかったため、インシデント発生後1カ月以上も検知がされず、被害が拡大し続けていた
・デジタルマーケティング部門が独自に利用したクラウドサービス上でアプリの開発/展開を行っており、セキュリティについての注意を誰も払わない体制になっていた
・セキュリティを確保するための適切な投資やベンダーへのセキュリティ要件提示がなかった
顧客コミュニケーション用ブログサイト構築外部からの侵入に対し無防備な状態になっており、OSを乗っ取られた上に、他社への攻撃の踏み台にされてしまった (結果として加害者の立場) 営業部門が広告代理店と共にパブリッククラウド上にサイトを構築した際、情報システム部門が関与してなかったため、コンテンツのみに注力しセキュリティ観点でのケアが漏れていた
イベントキャンペーンサイト構築・DBサーバがFW設定なしでインターネット上に公開されていたため、データへの不正アクセスが可能な状態となっていた
・セキュリティインシデント発生時に、賠償責任を求めるための根拠となる契約がなく、責任追及ができなかった
・情報システム部門が関与しないところで、マーケティング部門がパブリッククラウド上にサイトを立ち上げていた
・サイト構築にあたり広告代理店と契約なしで作業を行っていたため、セキュリティを含む非機能要件の検討が不足していた

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]