クラウドサービスの設定ミスによるインシデントが多発

　クラウドサービスとは、SaaSやASPなど、サービス自体がオープンなネットワークで接続され、提供されるものをいう。近年、クラウドサービスに起因したセキュリティ事故が多発しており、調査対象の51.3％で情報漏えいの危機や、サービス提供に支障をきたす可能性のある事例が発生していたことが明らかになった。
　リスクの第1位は「社内限定公開のつもりが、社外からもアクセス可能な設定になっていた（アクセス権限の誤設定）」が17.7％。クラウドサービスの設定ミスによるインシデントを防ぐためには、設定環境や制御方法、責任範囲を確認することが重要だ。
　クラウドサービス事業者側のセキュリティ対策に頼るだけでなく、利用者側の責任で実施すべきこともあるという認識を持ち、設定ミスを防止・検知するための対策（レビューや定期的な点検など）を実行することで設定ミスの発生や、社外への情報漏えいを防ぐことができる。
　また、クラウドサービスの仕様変更によって、アクセス権限の設定が変更される事例もあるため、仕様変更に関するクラウドサービスからの通知タイミングや方法について事前に確認する必要がある。

2位はサイバー攻撃、3位はスマホなどの紛失

　第2位は「自社で利用しているクラウドサービスがサイバー攻撃を受け、自社の機密情報も漏えいの可能性があった」で14.3％。事業者側の自社サービスのセキュリティ対策はもちろん、利用者側も、利用するクラウドサービスのセキュリティ対策状況を適切に見極め、利用判断をしていく必要がある。
　例えば、脆弱性管理や脆弱性診断の実施有無、データ侵害時の復旧対策や目標復旧時間などを導入前に確認することで、脆弱性をついた攻撃に対処できるか、また、仮に攻撃により被害が生じた際にどのような対処が想定されているかを把握し、そのリスクを許容できるか評価することで利用可否の判断が可能になる。
　第3位は「機密情報が保存されたクラウドサービスが利用可能なスマートフォンなどを紛失し、情報漏えいの可能性があった」で12.3％。クラウドサービスの業務利用が増えると同時に、コロナ禍から徐々に外出の機会が増えるなか、社用スマホなどの持ち出し機会も増えることが見込まれる。
　紛失自体を防ぐための従業員の教育や社内ルール規定はもちろんのこと、紛失した際に、クラウドサービス上の情報漏えいを防ぐための対策も必要。クラウドサービスのアプリにおける指紋認証などの生体認証可否や、紛失したスマホからの接続を制限できる機能の有無などを確認することで、情報漏えいの可能性を最小限に留めることができる。
　4位は「退職住の元従業員のアカウント削除ができていなかった」（10.3％）、5位は「シャドーITの存在が判明した」（10.0％）と続いていた。

　▽関連記事
　3Dセキュアはカゴ落ち率約60％、ECサイトで不正被害が減らないワケ
　フィッシング報告件数、7月は22％減の11万7024件…Amazonを騙る詐欺が増加
　▽関連資料
　不正クレジットカード利用の現状と対策
　ECサイトの危険度を診断！ 今すぐできる 不正リスクのセルフチェックシート