クラウドの値打ち

「クラウド無法地帯」を阻止せよ--IT部門主導のクラウド活用メリット - (page 2)

戸賀慶 齋藤淳

2016-08-04 07:00

クラウド無法地帯による問題点

 実際に「クラウド無法地帯」に起因してリスクが増加、顕在化した事例をいくつか紹介しよう。

 ある企業の営業部門では、情報システム部門の関与しないところで顧客とのコミュニケーション実施のためのブログサイトを立ち上げた。その際、低コストかつ短期間で立ち上げるためオープンソースソフトウェアをパブリッククラウド上に構築し、ブログコンテンツは充実させたものの、セキュリティパッチなどのケアが必要なこと自体を認識していなかった。結果としてオープンな環境に脆弱なシステムを構築してしまい、簡単に外部からの侵入が可能となってしまっていた。

 また別の企業でも、情報システム部門の管理外において、マーケティング部門がパブリッククラウド上に十分なセキュリティ対策なしでキャンペーンサイトを立ち上げたことがあった。これによりファイヤーウォールの設定が不十分なサーバを外部に公開してしまったり、インシデント発生時の調査に必要なログがそもそも保存されていなかったりといった基本的な設定漏れが発生し、リスクが増加してしまうケースが見られた。

 このようなクラウド無法地帯に起因する課題について、筆者がこれまでに目の当たりにした中で、比較的軽微な例を以下に挙げる。

きっかけとなった業務発生した課題の内容課題発生の原因
新製品広告サイト構築・セキュリティインシデント発生時の対応フローが未定義であったため、インシデント発生時の対応が遅れ、被害が増大した
・セキュリティインシデントを検知するためのツールや体制が存在しなかったため、インシデント発生後1カ月以上も検知がされず、被害が拡大し続けていた
・デジタルマーケティング部門が独自に利用したクラウドサービス上でアプリの開発/展開を行っており、セキュリティについての注意を誰も払わない体制になっていた
・セキュリティを確保するための適切な投資やベンダーへのセキュリティ要件提示がなかった
顧客コミュニケーション用ブログサイト構築外部からの侵入に対し無防備な状態になっており、OSを乗っ取られた上に、他社への攻撃の踏み台にされてしまった (結果として加害者の立場) 営業部門が広告代理店と共にパブリッククラウド上にサイトを構築した際、情報システム部門が関与してなかったため、コンテンツのみに注力しセキュリティ観点でのケアが漏れていた
イベントキャンペーンサイト構築・DBサーバがFW設定なしでインターネット上に公開されていたため、データへの不正アクセスが可能な状態となっていた
・セキュリティインシデント発生時に、賠償責任を求めるための根拠となる契約がなく、責任追及ができなかった
・情報システム部門が関与しないところで、マーケティング部門がパブリッククラウド上にサイトを立ち上げていた
・サイト構築にあたり広告代理店と契約なしで作業を行っていたため、セキュリティを含む非機能要件の検討が不足していた

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]