ここ最近は、クラウドにまつわるセキュリティ事故の話が目立っていたように感じました。

例えば、セールスフォース・ドットコム（以下、SFDC）が提供するクラウドサービスを使う複数の企業において、第三者が非公開情報にアクセスできてしまう状態になっていた問題。この問題では、名のとおった大企業、情報セキュリティに関しては高い管理知識を有するはずのIT企業などが、挙って同じ問題に陥ったことを公表しました。

SFDCに関連した問題のほかにも、グーグルが提供するクラウドサービスを利用する企業で内部の業務連絡のやり取りが気付かぬうちにオープンになっていた問題、某キャッシュレス決済事業者における加盟店情報約2007万件の漏えい事件、なども報道されていました。

上記で取り上げた問題に共通する要因は、「設定ミス」です。設定の不備によって、本来公開してはいけない情報が一般公開設定となり、インターネットから閲覧可能な状態となっていた、というわけです。

一般に、クラウドサービスを利用するにあたっては、さまざまな設定を利用者の責任の下で実施することになっています。従って、設定にまつわる障害や事故は利用者側の問題として扱われるのが通例です。

ただし、今回のSFDCの問題は、利用者の対応の甘さに全面的な責任があるとは必ずしも言えない面があるように、わたしは感じます。というのも、設定不備の原因となったのがSFDC側による機能のバージョンアップにあるからです。約5年前に行われた機能追加にその火種があり、その際に、新機能の導入により適切な権限設定をしなければ情報漏えいにつながる可能性が生じたといいます。その旨の情報が利用者に適切に提供されていなかったのではないか、そもそもSFDCはそのような脆弱な設定になり得ることを予測していなかったのではないか、という声が少なからずあるとのことです。

つまり、知らぬ間に外部のアクセスを許す状態になっていたという利用者が大勢いたということであり、それは利用者側の「設定ミス」として片付けられるものなのか、という認識が生まれるわけです。至って自然な考えではないかと思われます。

しかしながらこのような状況を踏まえてもなお、結局は利用者が被害や影響を受ける立場になることに変わりはないのが実情です。クラウドサービスは、提供者側の都合でアップデートや機能追加が頻繁に行われます。それが良さであるという評価も一方ではあります。クラウドを利用するということはつまり、利用者が提供者に振り回される面がある、という理解が必要なのです。

設定ミスは人為的なミスなのだから、使う側が気を付ければよいことではないか、と思うかもしれません。実際に使ってみればわかることですが、クラウドサービスは、使い込もうとするほど、または機能が豊富で高度な要求を実現できるものほど、設定は単純では無くなっていきます。利用者側にも、それなりの「ユーザーレベルの高さ」が要求されるのが実態です。それはある意味、当然のことでもあります。

先日セキュリティの専門家から話を聞きましたが、サイバー攻撃の攻撃者がどのような攻撃手法を好んで選択するのかというと、端的に言えばコストパフォーマンスが高い手法が優先されるといいます。かつては多かった、自らの技術を誇示したい攻撃者というのは近年ではほぼ皆無で、手っ取り早く価値の高い情報を搾取し、お金に変えることを目的にしているのです。そのとき、一番コスパが高い狙い目というのが、実は設定ミスや運用ミスを突くことだと指摘していました。

クラウドは利用のハードルが低く、その気になれば利用の幅をいかようにも広げられる面があります。一昔前なら何千万円と支払わなければ手に入れられなかったような技術を、月数千円程度で利用できるようになっています。技術的に出来ないことは、もはやほとんどありません。これは、ITの急速な技術進化の賜物です。

ただし、利用する側にそれを操れるだけの組織的能力があるのかどうか。利用する企業は常にこの点を、自問自答する必要があります。能力を持たざる企業に高度なITが使いこなせないのは、プリウスに乗っていたドライバーが今日からF1カーを乗りこなそうと思ってもできないのと同じです。

特に中堅中小企業は、ITにかかる組織の整備が脆弱な傾向があります。クラウドをどんどん使おうとするわりにIT担当者は兼務しかいない、でいいのか？経営者の方々には、自社で何らかのITを使おうとするなら、まずは組織能力を問い直すこと、いかに整備を進めるか考えること、をお勧めしたいと思います。そうでなければ、安易な設定ミスにより足元をすくわれるリスクを抱えることになります。