クラウド化が進む一方で、「設定ミス」や「権限管理の不備」による情報漏えいが増えています。
クラウドは便利ですが、使い方次第でリスクもあります。企業自身が責任をもってセキュリティを管理する必要があります。
この記事では、クラウド環境に潜むリスクと対策の基本、そして脆弱性診断による安全性の可視化方法をわかりやすく解説します。
継続的に守るしくみを実現するための参考として、クラウド診断を通じてセキュリティ強化を実現した企業も紹介します。
この記事を監修した人
増井敏克
増井技術士事務所 代表
技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとしても活動。「ビジネス」×「数学」×「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウェアの開発を行っている。著書に『IT用語図鑑』『図解まるわかり セキュリティのしくみ』『どうしてこうなった?セキュリティの笑えないミスとその対策51』『「技術書」の読書術』『実務で役立つ ログの教科書』など。
クラウドセキュリティとは?なぜ今重要なのか
クラウドセキュリティとは、インターネット上のデータやシステムを守るしくみと運用のことです。適切な対策をしておかないと、情報漏えいや不正アクセスなどの重大なリスクにつながります。
クラウド利用の急拡大とセキュリティの課題
総務省が行った「令和5年通信利用動向調査」によると、利用企業は年々増加し続けており、今や企業の約8割がクラウドサービスを利用する時代になりました。
しかし、利用が広がる一方で「クラウド事業者に任せておけば安全」という誤解も広まっています。
本来クラウドには、事業者と利用者の双方に管理責任がある「責任共有モデル」という考え方があり、利用企業側にもセキュリティ対策が求められます。
ところが、コロナ禍でクラウド導入が急速に進んだ結果、この前提を十分に理解しないまま利用を続ける企業も少なくありません。
その影響は、実際の事故としても表れており、2023年には国内自動車メーカーが約10年間にわたりクラウド設定を誤ったまま運用し、顧客情報約215万件を外部から閲覧可能な状態にしていた事例や、IT企業がGoogleドライブの公開設定ミスにより6年以上情報を露出させていた事例など、設定ミスによる情報漏えいが相次いでいます。
※参照:総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」
クラウド導入・運用時に潜む脅威とリスク
前述のとおり、クラウドの安全性は事業者だけでなく、利用する企業側の管理にも大きく左右されます。では、企業は具体的にどのようなリスクに注意すべきなのでしょうか。
クラウドで発生するトラブルの多くは、たった一つの「設定の誤り」から始まります。主なリスクは次のとおりです。
主なリスク項目
| リスク | 内容 |
|---|---|
| アクセス権限の誤設定 | 管理者権限の共有や削除漏れによる不正アクセスの危険性 |
| データ共有範囲の設定ミス | 公開制限を誤り、社外から情報が閲覧可能になる事態 |
| 無断導入システムの問題 | 個人や部署が独自判断で導入したサービスがセキュリティ管理の対象外となり、統制がきかなくなる状態 |
| 外部連携の弱点 | 外部サービスとの接続部分から侵入されるリスク |
| クラウド構成の不備 | ユーザー認証・権限管理の設定やネットワーク公開範囲の誤り |
実際に、クラウドにおける重大な事故の多くが利用者側の「設定ミス」によるものです(※1)。
情報セキュリティの専門機関も、クラウド設定ミスを含む「不注意による情報漏えい等の被害」を重大な脅威として警告しています(※2)。
こうしたリスクを定量的に把握するには、定期的な診断が欠かせません。
※1 情報処理推進機構(IPA)2023年7月公表報告書
※2 IPA「情報セキュリティ10大脅威2024(組織編)」
監修:増井さん
クラウドは「全部任せれば安全」というしくみではありません。契約時に責任共有モデルの範囲を確認し、自社の責任範囲を把握してください。具体的には、利用者側が担う設定やアクセス管理の項目を一覧にして、担当部署と責任者を決めることが挙げられます。これを運用ルールに落とし込むことで、設定ミスや権限の放置による事故を減らせる可能性があります。
クラウドセキュリティを守る3つの柱:技術・運用・診断
クラウドのトラブルを防ぐには、どれか一つの対策だけでは足りません。
「技術」「運用」「診断」の3つをそろえて取り組むことが大切です。
| 項目 | 対策内容 | 主な目的 |
|---|---|---|
| 技術 | 暗号化、ゼロトラスト、クラウド監視ツールを導入する | 外部からの不正アクセスや情報の盗み見を防ぐ |
| 運用 | 権限の整理(誰がどこまで操作できるか決める)、ログ確認、社員への教育 | 操作ミスや放置された権限によるトラブルを防ぐ |
| 診断 | 定期的な脆弱性チェックや設定の見直し | 気付きにくいリスクを早めに発見する |
クラウドは便利ですが、使い方や設定を変えるたびにリスクの内容も変わります。
例えば、新しいサービスを追加したり、外部のツールとつなげたりすると、そのぶん入り口や抜け道が増えることがあります。
そのため、一度チェックして終わりではなく、変化に合わせて何度も見直すことが重要です。特にクラウドでは、サービスを使っている途中で起こる「設定変更」が原因でトラブルになるケースが多く見られます。
だからこそ、安全チェックを特別な作業ではなく、“普段の仕事の一部”として組み込むことが、安全を守り続けるポイントです。
実践ステップ:導入から運用までの流れ
クラウドセキュリティの重要性やリスクは理解できても、「では、実際に何から始めればいいのか?」と悩む方も多いでしょう。
クラウドのセキュリティ対策をきちんと定着させるには、「準備 → 導入 → 運用 → 評価」の4つの段階に分けて進めることが大切です。ここでは、最初の準備段階でやるべきことを、実際の作業イメージとともに解説します。
1. 準備段階:利用中のクラウドサービスを把握する(棚卸)
自社のクラウド利用状況を「見える化」し、リスク箇所を把握します。
①利用中のクラウドサービスの棚卸
まずは、会社で使われているクラウドサービスをすべてリスト化します。知らないところで契約・利用されているサービス(シャドーIT)がないかも確認します。
チェック項目:
- どの部署が、どのクラウドサービスを使っているか
- 契約者は誰か(IT部門管理か、各部署独自契約か)
- 無断で導入されたサービスがないか
作業例:
部門ごとにヒアリングを実施し、表計算ソフトで一覧表を作成します。意外と「営業部が独自に契約していたツール」などが見つかることがあります。
②アクセス権・保存場所・接続経路を整理する
次に、「誰が・どのデータに・どこからアクセスできるのか」を明確にします。権限の整理や、不要なアカウントの削除も含まれます。
チェック項目:
- 管理者権限をもっているのは誰か
- どのデータがクラウドに保存されているか
- 社外からのアクセスは許可されているか
- 外部サービスとの連携はどこで行われているか
よくある失敗例:
- 退職した元社員のアカウントが放置されている
- どのデータがクラウドに保存されているか
- 「とりあえず全員に管理者権限」を付与している
- テスト用に作った保存場所が公開設定のままになっている
③診断の対象と優先順位を決める
すべてを一度に診断するのは困難です。個人情報を扱うシステムや外部公開サービスから優先的に実施しましょう。
| 優先度 | 対象 | 理由 |
|---|---|---|
| 高 | 個人情報・機密情報を扱うシステム | 漏えい時の影響が大きい |
| 高 | 外部公開しているWebサービス | 攻撃者から狙われやすい |
| 中 | 社内システムとの連携部分 | 侵入経路になりうる |
| 低 | 完全に独立した開発環境 | 本番への影響が限定的 |
監修:増井さん
クラウド資産の棚卸を実施し、「量」を減らすことは効果的です。まずは「個人情報や機密情報の有無」「外部公開の可否」「連携箇所と相手」を分類し、リスクの高いものから権限の整理と診断を実施してください。実務では、CVSSなどを用いた技術的な深刻度と、業務への影響度(漏えい時の損害など)を用いて数値化し、優先度を決めると現場が動きやすくなります。
2. 導入段階:ルール・しくみを整える
準備段階で「何がどこにあるのか」「どんなリスクがあるのか」が見えてきたら、次は実際に守るためのルールやしくみを整える段階です。
①セキュリティポリシー・ルールの整備
クラウドを安全に使うための社内ルールを作ります。専門的で難しいものではなく、「やっていいこと・やってはいけないこと」を明確にすることが目的です。
作成しておきたい内容例
| 内容 | 目的 |
|---|---|
| クラウドサービスの利用ルール | 誰が契約・管理できるか、無断導入を防ぐ |
| 権限・アカウント管理のルール | 管理者・一般ユーザーの違いを明確にする |
| データの保存・共有ルール | 公開範囲や外部共有の方法を統一する |
| パスワード・多要素認証(MFA) | なりすましログインを防ぐ |
②ログ管理・二段階認証・暗号化設定の導入
「誰が」「いつ」「何をしたか」の記録、パスワード以外の認証追加、データの暗号化を設定します。
ログ管理の設定:
- クラウドサービスの監査ログ機能を有効化
- ログの保存期間を設定(最低6カ月~1年を推奨)
- 異常なアクセスがあった際の通知設定
二段階認証の設定:
- 管理者アカウントは必ず設定
- 一般ユーザーも段階的に導入
- スマートフォンアプリでの認証を推奨
暗号化設定:
- 保存データの暗号化を有効化
- 通信の暗号化を確認
- バックアップデータも暗号化
3. 運用段階:監視と改善
日常的にセキュリティ状態をチェックし、問題を早期発見する体制を作ります。
①ログの定期確認・アクセス監査
設定したログを定期的に確認し、異常がないかチェックします。
| 頻度 | 確認項目 | 具体例 |
|---|---|---|
| 毎日 | 管理者権限での操作 | 深夜のログイン、大量のデータ取得 |
| 週次 | 新規ユーザー追加・権限変更 | 承認されていないアカウント作成 |
| 月次 | 全体的なアクセス傾向 | 通常と異なる国からのアクセス急増 |
よくある異常のサイン:
- 退職者のアカウントでログイン試行
- 通常と異なる時間帯のアクセス
- 海外からの不審なアクセス
- 短時間での大量データ取得
②リリースごとのセキュリティチェック
新機能追加やシステム変更時には、必ずセキュリティ確認を行います。
チェックリスト例:
- 新しい接続部分は適切に保護されているか
- 公開範囲の設定は正しいか
- 新しいアカウントや権限は最小限か
- 既存のセキュリティ設定に影響はないか
③診断の定期実施
3~6カ月に1回、または大きな変更後には必ず診断を実施します。
診断のタイミング:
- 新しいクラウドサービス導入時
- 大規模なシステム変更後
- 重要な機能追加後
- 定期診断(四半期または半期ごと)
4. 評価段階
①診断レポートを基に改善計画を立案
発見された脆弱性に優先順位を付けて対応します。
| 優先度 | リスク レベル |
対応期限の目安 | 例 |
|---|---|---|---|
| 緊急 | 重大 | 即日~1週間 | 管理画面が認証なしでアクセス可能 |
| 高 | 高 | 2週間~1カ月 | 古いプログラムに既知の脆弱性 |
| 中 | 中 | 1~3カ月 | セキュリティ設定の不備 |
| 低 | 低 | 次回メンテナンス時 | 推奨設定との軽微な差異 |
②修正後の再診断でリスク除去を確認
対策実施後は必ず「本当に直ったか」を再診断で確認します。
再診断の流れ(一例):
- 修正内容を実装
- 同じ項目について再度診断を実施
- 脆弱性が解消されたことを確認
- 修正により新たな問題が発生していないかチェック
③結果を経営層・関係部門と共有し改善サイクル化
診断結果と対応状況を組織全体で共有し、改善を続ける文化を作ります。
報告内容の例:
- 発見された脆弱性の数と重要度
- 対応完了した項目と残課題
- 今後の改善計画とスケジュール
- 必要な予算や人的リソース
監修:増井さん
設定ミスが発生したとき、修正して終わりにしないことが重要です。再診断を実施するとともに、定期的なレビューや設定の点検、シャドーIT検出のための監査を運用に組み込みましょう。まずは「最小権限の原則」や「MFAの導入」といった基本について教育を実施するだけでも、クラウドを使うときの意識が変わることが期待できます。
【事例】クラウド診断を通じてセキュリティ強化を実現した企業
理論やベストプラクティスを理解しても、実際にどう運用すればよいのか悩むことも多いでしょう。
ここでは、診断を定常プロセスとして組み込み、セキュリティ体制を強化した2社の取り組みを紹介します。それぞれの企業が直面した課題と、どのように克服したのかを見ていきましょう。
事例①:グローバル展開企業のWebセキュリティ統一化
世界中に拠点を展開し、海外売上比率が50%を超えるグローバル製造業の企業様の事例です。DX推進を加速させる中、海外拠点でのセキュリティ事故がグループ全体のブランドに影響するという危機感から、グローバル全体でセキュリティ水準を統一することが課題となっていました。
課題
- 外部ベンダーによる手動診断だけではカバーしきれない脆弱性への対策強化
- グローバル全拠点におけるWeb管理の統一
- 社内知識を蓄積し、セキュリティ取り組みを継続的に高度化
取り組み
- クラウド型の自動診断環境を導入し、運用プロセスを標準化
- 共通テンプレートを用いて、全拠点で一貫した診断手順を確立
- 改修・リリース時に合わせて自動スキャンを定期実行し、運用を効率化
成果
- 診断体制の内製化により、現場で迅速に診断を回せる環境を実現
- グローバル拠点間でセキュリティ品質を均一化し、管理体制を強化
- 継続的な運用を通じて、ノウハウが蓄積され、社内スキル向上にも寄与
海外拠点を含む複数の開発環境を統一的に診断するには、「自動化と標準化」の両立が不可欠です。診断の属人性をなくし、結果をデータとして共有できる体制を作ることで、セキュリティを「維持・進化させるしくみ」へと昇華させています。
より詳細な内容はこちらでご確認ください。
Webアプリケーション脆弱性検査ツール「VexCloud」の導入事例|貝印株式会社様
監修:増井さん
グローバル展開している場合、「技術の統一」だけでなく「運用ルールとエスカレーション経路の統一」が重要です。言語や法律、権限などが異なるため、ルールやフローを整備することで、グループ全体としての差を小さくして改善スピードを高められます。
事例②:サービス開発企業における全員参加型のセキュリティ体制
続いて、デジタルマーケティングプラットフォームを運営するITベンチャー企業様の事例です。サービスは急成長する一方、セキュリティ対策が属人化しており、開発スピードを維持しながら効率的に強化する方法を模索していました。
課題
- サービス拡大に伴い、セキュリティを組織全体で強化する必要があった
- 限られたリソース・コストの中で効率的に診断を実施したかった
取り組み
- 開発チーム自身が自動診断を実行できる環境を整備
- リリース前スキャンを定常化し、結果をチーム全体で共有
- 発見から修正までを開発プロセスに組み込み、セキュリティを開発フローの一部に
成果
- サービス全体のセキュリティ品質が向上し、開発者が安心して開発に専念できる環境を実現
- チーム全体のセキュリティ意識が向上し、全員参加型の意識が定着
- 診断・修正・再検証のサイクルが標準化され、継続的に安全性を高められる体制を確立
診断を特別な作業ではなく、開発の一部として自然に組み込んだことで、担当者一人ひとりがリスクを自ら見つけにいく意識へと変化しています。
より詳細な内容はこちらでご確認ください。
監修:増井さん
開発チーム主体で診断を回す際は「自動化」するだけでなく、発見後の運用ルールを明確にすることがポイントです。スキャンの合格基準を決める、脆弱性発見時の担当者や期限を決める、事例を共有して同じミスを防ぐ、といったルールを決めることで、診断結果を活かすことができれば開発プロセスの一部として定着させることができます。
事例から見える共通点
2つの事例をご紹介しましたが、業種や規模が異なる企業でも、セキュリティ強化に成功している企業には明確な共通点があります。
それは、診断を単発イベントではなく「定常プロセス」として運用している点です。特別なときだけ行う作業ではなく、日常業務の一部として組み込むことで、以下のような効果を実現しています。
- セキュリティ診断を継続的な業務プロセスとして組み込み
- 拠点やチームをまたいだ診断体制の共有・自走化を実現
- 結果の分析・改善・再診断という改善サイクルを確立
つまり、一時的な対応ではなく、組織全体に根付く「しくみ」として定着させることが、クラウド時代のセキュリティ強化の鍵となっているのです。
クラウド時代に必要なのは「継続的に守るしくみ」
クラウド環境は常に変化します。新しい機能追加や構成変更のたびにセキュリティリスクが発生するため、一度きりの診断ではなく、継続的にリスクを見直し改善を積み重ねる運用が不可欠です。
では、具体的にどのように継続的な診断体制を構築すればよいのでしょうか。多くの企業が活用しているのが、自動診断と専門家サポートを組み合わせたクラウド型診断サービスです。こうしたサービスを利用することで、定期的な診断の実施とその結果に基づく改善活動を、無理なく継続できる体制を作ることができます。
ユービーセキュアが提供する「VexCloud」は、まさにこのような継続的改善を支援するクラウド型脆弱性診断サービスです。実際の診断フローや運用事例をもとに、クラウド環境を継続的に守るための具体的な手法を詳しく紹介しています。自社のセキュリティ対策を単発対応からしくみ化へと進化させたい方は、ぜひお気軽にご相談ください。
「何から始めればいい?」がゼロになる!セキュリティ対策スタートガイド
セキュリティ担当を任されたけど、何から手をつけていいかわからない。そんな悩みに応える、初心者向けスタートガイドです。 基本的な考え方から具体的な対策まで、順を追って分かりやすく整理しています。
- セキュリティの基本的な考え方と全体像
- 最初に取り組むべき具体的な対策
- 「まずこれだけは」の厳選対策を紹介
