クラウドサービスの設定ミスを引き起こすリスク
〜半数以上がアクセス権限設定の仕様変更通知なし。クラウドサービス利用企業は設定ミスのリスクを低減できるサービス選定が必要〜
Visionalグループの株式会社アシュアード(所在地:東京都渋谷区/代表取締役社長:大森 厚志)が運営するセキュリティ評価プラットフォーム「Assured(アシュアード)」(https://assured.jp/)は、クラウドサービスの機能や権限に関する設定について、Assured独自データによる調査結果を公開します。
<結果サマリー> ・半数以上が、アクセス権限設定の仕様を変更する場合の事前通知を実施せず ・約3割が、他サービスとの連携機能の使用可否を利用者の管理者権限で設定不可。他サービスとの連携は情報漏えいリスクに繋がりかねないため管理者権限での設定が推奨される ・約2割が、預託データの外部公開機能の使用可否を利用者の管理者権限で設定不可。多くのサービスで適切な対策がされているものの、リスクがあるサービスも一定存在 ・約半数で、サービス利用者が組織内のアカウントのログイン履歴や操作ログを確認できず。インシデント発生時の調査や確認のためログ確認は重要 |
調査背景
昨今、企業のクラウドサービス利用が拡大している一方、利用しているクラウドサービスの設定ミスによる情報漏えい事故も増加しています。
クラウドサービスの責任共有モデルに定義されるように、SaaSのアクセス管理は利用者責任になります。クラウドサービスによっては、アクセス管理に関する通知や機能の提供が十分ではないこともあるため、適切な対策が施されているかを利用企業側が確認することで、設定ミスによる情報漏えいを防いだり、発生した場合の被害を最小限に留められる可能性が高まります。
そこでこの度、クラウドサービスの機能や権限の設定をAssured独自データ(Assuredがセキュリティ評価を実施したクラウドサービス)からまとめ発表します。
詳細はこちらから https://prtimes.jp/main/html/rd/p/000000634.000034075.html