クラウド無法地帯による問題点
実際に「クラウド無法地帯」に起因してリスクが増加、顕在化した事例をいくつか紹介しよう。
ある企業の営業部門では、情報システム部門の関与しないところで顧客とのコミュニケーション実施のためのブログサイトを立ち上げた。その際、低コストかつ短期間で立ち上げるためオープンソースソフトウェアをパブリッククラウド上に構築し、ブログコンテンツは充実させたものの、セキュリティパッチなどのケアが必要なこと自体を認識していなかった。結果としてオープンな環境に脆弱なシステムを構築してしまい、簡単に外部からの侵入が可能となってしまっていた。
また別の企業でも、情報システム部門の管理外において、マーケティング部門がパブリッククラウド上に十分なセキュリティ対策なしでキャンペーンサイトを立ち上げたことがあった。これによりファイヤーウォールの設定が不十分なサーバを外部に公開してしまったり、インシデント発生時の調査に必要なログがそもそも保存されていなかったりといった基本的な設定漏れが発生し、リスクが増加してしまうケースが見られた。
このようなクラウド無法地帯に起因する課題について、筆者がこれまでに目の当たりにした中で、比較的軽微な例を以下に挙げる。
きっかけとなった業務 | 発生した課題の内容 | 課題発生の原因 |
---|---|---|
新製品広告サイト構築 | ・セキュリティインシデント発生時の対応フローが未定義であったため、インシデント発生時の対応が遅れ、被害が増大した ・セキュリティインシデントを検知するためのツールや体制が存在しなかったため、インシデント発生後1カ月以上も検知がされず、被害が拡大し続けていた | ・デジタルマーケティング部門が独自に利用したクラウドサービス上でアプリの開発/展開を行っており、セキュリティについての注意を誰も払わない体制になっていた ・セキュリティを確保するための適切な投資やベンダーへのセキュリティ要件提示がなかった |
顧客コミュニケーション用ブログサイト構築 | 外部からの侵入に対し無防備な状態になっており、OSを乗っ取られた上に、他社への攻撃の踏み台にされてしまった (結果として加害者の立場) | 営業部門が広告代理店と共にパブリッククラウド上にサイトを構築した際、情報システム部門が関与してなかったため、コンテンツのみに注力しセキュリティ観点でのケアが漏れていた |
イベントキャンペーンサイト構築 | ・DBサーバがFW設定なしでインターネット上に公開されていたため、データへの不正アクセスが可能な状態となっていた ・セキュリティインシデント発生時に、賠償責任を求めるための根拠となる契約がなく、責任追及ができなかった | ・情報システム部門が関与しないところで、マーケティング部門がパブリッククラウド上にサイトを立ち上げていた ・サイト構築にあたり広告代理店と契約なしで作業を行っていたため、セキュリティを含む非機能要件の検討が不足していた |