情報セキュリティ白書2024に見るクラウドサービスの現状と課題

2024年7月30日に情報処理推進機構（IPA）から発表された「情報セキュリティ白書2024」は、現代のクラウドサービスにおける利用状況とセキュリティ上のリスクを浮き彫りにしています。特に、セキュリティ評価プラットフォーム「Assured」を運営する株式会社アシュアードは、クラウドサービスの利用者が直面するさまざまな課題について詳しく解説しています。ここでは、白書のサマリーからクラウドサービスの利用状況、インシデント例、セキュリティ対策などに焦点を当て、その内容を詳述します。

クラウドサービスの普及状況

白書によると、2023年度にはSaaSを導入する企業が60％を超え、導入した企業のうち80％以上がその効果を実感しているとの調査結果が示されています。これにより、クラウドサービスはもはや特別な選択肢ではなく、企業にとっての必須ツールとして定着しつつあることがわかります。

セキュリティインシデントの実態

しかし、クラウドサービスが普及する一方で、さまざまなセキュリティインシデントも発生しています。白書は、以下のような事例を取り上げています。

- 設定ミス（例: SaaSやIaaS/PaaSにおける設定ミス）
- サイバー攻撃（例: パスワードリスト攻撃、ランサムウェア攻撃など）
- 広域インフラ障害（例: グローバルIaaS/PaaSの大規模な障害）

設定ミスの事例

特に、設定ミスが原因でインシデントが発生するケースが多く見受けられます。例えば、SaaS利用時のアクセス権限設定の変更時に、事前の通知を行わないなどの実態が確認されていることも重要なポイントです。また、クラウドサービスは容易に導入できてしまうため、社内のセキュリティ担当者の目が届かない場所での利用（シャドーIT）が多く、情報漏えいのリスクをさらに高めています。約90％の大手企業がこの問題に直面しているという調査結果も示されています。

サイバー攻撃の脅威

セキュリティインシデントの中には、サイバー攻撃によるものも含まれます。特に注目すべきは、ランサムウェア攻撃の件数です。Assuredが行った調査では、多くのクラウドサービス事業者がウイルス対策ソフトを導入しておらず、バックアップのリストアテストも実施していないことがわかりました。これでは、万が一のサイバー攻撃に対して脆弱であることは明白です。

セキュリティ対策の必要性

こうした状況を受け、クラウドサービスの利用者と事業者双方が講じるべきセキュリティ対策が求められます。白書では、以下のような有効な対策が挙げられています。
1. 利用者側の対策
- パスキー認証の導入
- インフラ障害への準備
2. 事業者側の対策
- クラウドセキュリティ標準への準拠
- サービス安全性の評価と報告

特に、パスキー認証は生体認証を用いたより強固な認証方法として推奨されており、安全性向上に寄与する重要な施策とされています。加えて、事業者がクラウドセキュリティ標準に準拠することで、一定レベルのセキュリティ基準を保つことが不可欠です。

結論

このように、クラウドサービスの利用が加速するなかで、利用者と事業者双方が注意を払い、適切な設定や対策を講じることが求められます。Assuredは、そのようなニーズに応えるために、今後もサービス向上に努めていく方針です。安心してクラウドを活用するためには、まず適切なリスク管理を実施することが必要です。私たちが日常的に利用するクラウドサービスが、より安全で持続可能なものになるために、関係者全員が協力していくことが求められています。