クラウドセキュリティ

ここだけは押さえて!クラウドサービスの設定ポイント「外部組織とのデータ共有編」

Written by 前田 誉彦

2022年、エムオーテックス入社。
セキュリティエンジニアとして日々セキュリティ運用として監視・分析に従事。
お客様に合ったセキュリティ構成の検討、サイバー攻撃情勢の情報収集や発信などの業務を行っています。

ここだけは押さえて!クラウドサービスの設定ポイント「外部組織とのデータ共有編」

<Microsoft365、AWSの設定解説付き>
クラウドサービスの3つの設定ポイント
~外部組織とのデータ共有編~

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」
実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

背景

近年、テレワークの急速な普及を背景に、AWSやMicrosoft Azure、Microsoft 365などのクラウドサービスを活用してビジネスを行うことがスタンダードになっています。
しかしこれに伴い、クラウドサービスに関するセキュリティの脅威も顕著になっており、不正なログインやデータの漏洩などの被害も多発しています。

本コラムでは、 計3回のシリーズにて、クラウドサービスを利用するにあたり、管理者として「ここだけは押さえてほしい!」といえる設定のポイントを紹介していきます。

前回の第1回目は、特にインシデントに繋がりやすい、多要素認証(MFA)について解説しました。

⇒前回のコラムはこちら

ここだけは押さえて!クラウドサービスの設定ポイント 多要素認証(MFA)編 | wiz LANSCOPE

今回の第2回目は、予想外の情報漏えいに繋がりやすい、「外部とのデータ共有」の設定についてご紹介します。本コラムが皆様のセキュリティインシデントの未然防止に少しでも寄与できれば幸いです。

最近のクラウドサービスの認証不備によるインシデント

昨今、クラウドサービスの外部公開設定の不備を突いたインシデントが増加しています。下記は、昨年12月に国内の某出版社で発生したAWSの設定不備によるインシデントです。

この事例は、2015年から該当の情報が公開状態であったことを関係者が気づいておらず、定期的な設定の見直しを実施していなかったと推測されます。同様のインシデントが某ヘルスケア企業、某医療Q&Aサイトなどでも多数発生しています。このようなケースは、データの共有設定を設定していれば防げた可能性が高い事故となっています。

外部との共有設定の診断結果(弊社調べ)

では、外部との共有設定にリスクがある企業・組織の割合はいったいどれくらいなのでしょうか。
弊社では、企業で契約されているクラウドサービスの設定状況をチェックする、クラウセキュリティ診断を提供しているのですが、ここで過去2年間の結果データを見てみましょう。

診断を実施されたお客様のうち、AWSでは50%、Azureでは50%、Microsoft365では42%が設定を適切にされていますが、裏を返すと2社に1社は適切な設定ができていないと言えます。

外部との共有設定とは

ここで、外部とのデータ共有設定について解説します。
クラウドサービスでは、組織外のユーザーと情報共有や共同作業をするために、リソースを外部公開するための設定や特定のユーザーと共有するといった外部共有機能があります。
この部分は、設定を誤ると情報漏えいに直結するため、機能の利用有無にかかわらず設定や運用の見直しは非常に重要です。


上記の図のように、自社のストレージサービスなどにアクセス権を付与することで、組織外のユーザーとデータのやり取りが可能になります。

例①:AWS/S3バケットのパブリックアクセス機能など
例②:MS365/SharePointの外部共有機能など

例として、AWSではS3のパブリックアクセス機能などにより、ストレージ上に蓄積したデータを外部とやり取りすることができます。そのため、S3の外部公開に関する事故が絶えず起こっている状態です。
AWSに関しては、2023年4月より、S3バケットのブロックパブリックアクセス機能が強制されると告知されているため、意図的に公開する設定を行わない限り、外部に対して公開されることはありませんが、以前に作成したものはこの機能が強制されていないため、一度見直す事を推奨いたします。

また、Microsoft365の例では、SharePoint・OneDriveについても外部公開の設定があり、もっともポリシーが緩い設定では、「全てのユーザー」にアクセス権限が割り当てられています。この状態では、URLが判明していると誰でもアクセスできてしまう可能性があります。
弊社で診断や相談会などを実施していると、この設定になっているユーザーが非常に多いため、この部分の設定は必ずご確認ください。

なお、各クラウドサービスのデフォルト設定は必ずしも安全とは限りませんので、この機会に一度外部公開に関する設定箇所を見直すことを推奨いたします。

まとめ

本コラムでは、クラウドサービスの設定で特に注意すべき点の1つとして、外部とのデータ共有の設定を解説しました。最近のクラウドサービスにおけるインシデントや事故からも、クラウドサービスを利用する際には、適切なセキュリティ対策が必要であると言えます。
共有の項目を適切に設定することで、機密情報の漏えいなどのリスクを低減し、安全にクラウドサービスを運用していきましょう。

本内容は2023年5月時点での情報です。
AWSやMicrosoft365に代表されるクラウドサービスは、提供者側が、提供する設定画面や仕様などを変更することが可能な形態であることに留意してください。

<Microsoft365、AWSの設定解説付き>
クラウドサービスの3つの設定ポイント
~外部組織とのデータ共有編~

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」
実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》