海の向こうの“セキュリティ”

シャドーITとクラウドの危うい関係

 IT部門の許可なく従業員が私物のIT機器などを勝手に業務で使用する、いわゆる“シャドーIT”に頭を悩まされている企業や組織は少なくないでしょう。特に、従業員がシャドーITとしてクラウドサービスを使用している例は珍しくありません。

 そのような中、ブルーコートシステムズの「Elastica Cloud Threat Labs」は、シャドーITのセキュリティ上の脅威という観点でクラウドのアプリやサービスについて調査した結果をまとめた2016年上半期レポート「Shadow Data Threat Report」を公開しました。

 このレポートでメディアなどから特に注目を集めたのは、「1万5000以上のビジネス向けクラウドアプリを調査した結果、その99%がビジネスでの利用に適さない(セキュリティ上のリスクあり)」とした点で、確かにこの99%という数字だけを見ると、かなりインパクトがあります。しかし、ここで注意が必要です。

 レポートでは、同じビジネス向けクラウドサービスでも、「BoxやOffice 365、Salesforceなどの広く使われているクラウドサービスの多くはビジネスでの利用に適しているが、その他のビジネス向けアプリの99%以上がビジネスでの利用に適さない」としているのです。つまり「99%」という値は、各々のクラウドサービスやアプリの普及度合や利用者数を無視して導き出した単純な数字であり、この「99%以上が不適切」という結果だけを見て「クラウドはとにかく危険」と判断するのは早計です。

 もちろん、調査対象のクラウドアプリのうち11%にFREAK、Logjam、Heartbleed、Poodle SSLv3、Poodle TLS、CRIMEといった既知の脆弱性が残っているという結果は深刻に受け止めるべきでしょう。

 なお、「ビジネスでの利用に適さない」とされたポイントとしては、上記の既知の脆弱性が残されている11%のほか、SOC(Service Organization Controls)2 を満たしていないものが95%、多要素認証を提供していないものが71%、データの適切な暗号化を用いていないものが87%などとなっています。

 ちなみに、データを適切に暗号化しているのは13%で、SSL(TLS)による安全な通信を用いているのは85%ですが、その両方を満たしているのは3%だけだそうです。

 さらに、EUの「一般データ保護規則(GDPR:General Data Protection Regulation)」を満たしていないものは98%に及んでいますが、Office 365やGoogle Drive、Salesforce、Box、DropboxといったメジャーなアプリはGDPRをすべて満たしているそうです。

 一方、今回のレポートで最も注目すべきはクラウドアプリの利用実態です。IT部門が自組織で使用されているクラウドアプリは30から40と認識しているのに対し、実際にはその20倍以上である841(平均値)のアプリが使われている、すなわち、これだけ多くのクラウドアプリが“シャドーIT”として使われているのです。ちなみに、841という数字は前回(2015年下半期)の調査結果である812よりもさらに増えています。

 クラウドの不適切な利用という点では、クラウド上に保存された1億800万の文書について調べた結果にも注目する必要があります。調査によると、クラウド上に保存された全ファイルのうち23%が「広く共有されている」状態にあり、その共有されてしまっているファイルのうち12%にコンプライアンスにかかわるデータや機密データが含まれていたそうです。

 なお、この「広く共有されている(broadly shared)」とは、必ずしも「公開されている」状態だけを指しているわけではなく、「従業員全員がアクセス可能」「取引先や顧客がアクセス可能」といった本来あるべき状態とは異なるものを含んでいます。また、「コンプライアンスにかかわるデータ」とは、個人を特定できる情報(PII:Personally Identifiable Information)やペイメントカード情報(PCI:Payment Card Information)、保護医療情報(PHI:Protected Health Information)を指しています。

 次に、セキュリティインシデントにつながる内部犯行または外部からの攻撃と見られるクラウドに対する不審な活動(suspicious cloud activity)について調べた結果を見てみます。37%がクラウドのユーザーアカウントを奪い取ろうとしたもので、残り63%がデータを取り出そうとしたものだったそうです。

 なお、本レポートでは、クラウドで起こるセキュリティインシデントを3つに分類し、それぞれのインシデントに関係した最も致命的な(critical)な活動を以下のように紹介しています。

  • データの取り出し
    - 異常な回数にわたるファイルのプレビュー
    - 異常な回数にわたるファイルのダウンロード
    - 異常な回数にわたる電子メールの送信
    - 異常な回数にわたるファイル共有
  • データの破壊
    - 異常な回数にわたるファイルの編集
    - 異常な回数にわたるファイルの削除
  • アカウントの乗っ取り
    - 異常な回数にわたるアカウントログイン
    - 多すぎる不審なアカウントログイン

 これらの結果を踏まえて、ブルーコートシステムズは次の4つを勧めています。

  • Know your organization
    自組織について以下の確認と見直し
    - クラウドの利用に関するポリシーやガイドライン、ルール(遮断などを含む)など
    - インシデント発生時の対応体制(プロセス)
  • Know your cloud apps
    従業員が利用しているクラウドアプリの把握
    必要に応じた遮断と安全な(secure)なものへの移行
  • Know your cloud users
    従業員がどのようにクラウドを利用しているかの把握
  • Know your cloud data
    従業員がクラウド上に置いているデータの把握

 今回の調査結果に対して「これは海外の話でしょ?」と他人事のように捉える方も少なくないと思いますが、今回の調査は特定の国や地域の企業や組織に限定したものではありませんし、そもそも個人のクラウド利用にかかわるものであり、スマホやタブレットの普及で個人のクラウド利用が一般化してきている今、同様のリスクが日本の企業や組織にも当然あると考えるべきです。

 ところで、この報告書は図を多用し、端的に分かりやすく調査結果を紹介している反面、細かい説明が省かれているため、定義が不明またはあいまいで分かりにくい部分が散見されているのがとても残念。半年ごとに公開されているレポートなので、このあたりは次回に期待したいところです。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。