3つ目に重要なのは、「人」の問題にしないこと。経営層は「専任の担当者をつけ、十分にチェックすればクラウドの設定ミスくらいは防げるだろう」と考えているかもしれない。

しかし、セキュリティ専門企業のLACや、AWSのスペシャリスト集団であるクラスメソッドでさえ設定ミスによるトラブルが報道されている。専門家を抱える組織でもミスは起きるものであり、人による管理では十分ではないと考えを改めることが重要だ。

そして、クラウドの設定ミスを検出、予防するためのセキュリティソリューションを活用したい。例えば最近では、IaaSの設定ミスを対象とした「CSPM(Cloud Security Posture Management)」、SaaS(Software as a Service)の設定ミスを対象とした「SSPM(SaaS Security Posture Management)」を導入する企業が増加傾向にある。ツール導入はクラウド時代に必要なコストと考え、CSPMやSSPMの採用を検討することを推奨したい。

「CSPMやSSPMの設定ミス」に注意

最後に1つ、これから問題視されるであろう「設定ミス」について触れておこう。それは、CSPMやSSPMの設定ミスだ。

現状、CSPMやSSPMの活用方法が普及していると言えず、「どうやって使えばよいかわからない」という悩みを抱えている企業が多いのではないだろうか。おそらくそのほとんどが、自社にとってのリスクを正しく認識しないまま導入してしまったケースだと思われる。

例えば、経営層から「クラウドサービスの設定ミスに対する対策はできているか」と相談を持ちかけられ、ベンダーからCSPMやSSPMの情報を取り寄せる。そして、ベンダーが提示してきた比較表を見て、「対象アプリケーション数やルール数が一番多い」という単純な理由で導入が進んでしまうケースが散見される。

このように、CSPMやSSPMの導入が目的となってしまっているケースにおいては、事前定義された設定ミスの検知ルールをデフォルトのまま有効化し、月1000件を超えるアラートが発生して呆然とする事態になるだろう。ひどいケースでは、「毎日アラートが出ているが、とくに異常はない」とし、アラートを無視するのが当たり前になってしまう。

こうした事態に陥らないためにも、CSPMやSSPMを検討する場合には、自社にとってのリスクや対処の必要なリスクについて共に考えてくれるベンダーの姿勢も、評価対象とすることをお勧めする。

著者:大元 隆志