責任共有モデルの誤解を解きガバナンスの再構築を
近年、利用の拡大が進むクラウドサービスにおいて、「設定の不備」を突いた情報事故(インシデント)が深刻化しています。
直近の事例では、クラウドストレージ(Amazon S3)のアクセスキーが流出し、攻撃者が「正規の操作」としてストレージ領域を一括削除、事業継続に甚大な影響を及ぼしたケースが報告されました。これは脆弱性を突く攻撃ではなく、管理不備という「自らの鍵」を悪用された結果です。
設定ミスによるインシデントの主な原因は「ヒューマンエラー」
特に近年は、AIエージェントの導入やマルチクラウド化により、管理すべきAPIキーやIAM(アイデンティティ管理)の権限設定が複雑化しています。
SentinelOneの統計※によるとクラウドサービスインシデントの約23%は設定ミスが原因であり、設定ミスの約8割が「ヒューマンエラー」に起因していると報告しています。攻撃者は高度なハッキング技術を使わずとも、意図せず公開されたポートや過剰に設定された権限設定を狙って侵入を試みています。
総務省ガイドラインにおける「責任共有モデル」の再確認
こうした事態を受け、総務省の「クラウドサービス利用・提供における適切な設定のためのガイドライン」の重要性が再認識されています。本ガイドラインが強調するのは、クラウドサービス事業者と利用者の「責任共有モデル」の徹底です。インフラの安全はクラウドサービス事業者が担保しますが、その上の「データ保護」や「アクセス管理」の設定は100%利用者の責任となります。
利便性の裏にある「ガバナンス」の欠如
クラウドサービスの利便性は、設定一つで全世界にデータを公開できる反面、不正アクセスや情報漏えい、データ消失などといったリスクと隣り合わせです。 今後の情報セキュリティ対策において、企業は「クラウドサービスは安全」という受動的な姿勢を捨て、自社の設定状況をリアルタイムで可視化・制御する「能動的なガバナンス」へと舵を切る必要があります。
NTT Risk Managerは、企業のクラウドサービス利用におけるリスクについてのリスクアセスメントについてノウハウを有しており、利用時のリスクに不安を抱える企業は相談してみてはいかがでしょうか。
出典:SentinelOne「2025年版 クラウドセキュリティ統計」
https://www.sentinelone.com/ja/cybersecurity-101/cloud-security/cloud-security-statistics/
