デジタルトラストの構築に向けたPwCのアクション：新たなサイバーリスクへの対応とDXに対する企業責任‐クラウド推進への示唆

一律基準ではクラウド全般を評価できない

綾部：
では1つ目のポイントであるクラウド事業者の選定について伺います。クラウドサービスと言っても、IaaS（Infrastructure as a Service）からSaaS（Software as a Service）まで、さまざまなレイヤーがあります。それぞれのレイヤーでクラウド事業者と契約する際、ユーザー企業は何を基準に選定すべきでしょうか。岸さんと大井さんに伺います。

岸：
まだクラウドの選定基準を定めていない企業も数多くあります。何が困難かというと、クラウドは一般的な種別としてもIaaS、PaaS、SaaSなどに分かれ、使われ方も異なっていますので、それを含めた統一的な基準の策定は、当然、容易ではありません。

大井：
私は法律事務所で数多くの企業のサイバーセキュリティ案件に携わってきましたが、日本企業は基準を決めたりチェックリスト方式で判断したりすることを好む傾向にあると感じています。しかし、クラウドはレイヤーやサービスごとに留意すべきポイントが異なりますから、前提として一律に基準を定め、それを全てのクラウドサービスに当てはめることはできません。

岸：
まず企業内において対象業務の重要性や取り扱う情報の機密性の分類を明確化した上で、その中のどのクラスであればクラウド利用が可能かを決めるというのが大前提だと思います。また、選定において明確な基準を詳細に決めるのは簡単ではありませんので、大きな項目を決める以外は、選定時に審査のプロセスを設け、そこでセキュリティの専門家も含めた検討をするというやり方もあります。

大井：
クラウド事業者の選定で最初に行うべきことは、「そのクラウドサービスを利用する際に発生し得るリスクは何か」を把握することです。そして「自社にとってどのリスクが深刻なのか」をランク付けし、それらのリスクが現実化した際のシナリオを考えます。その上で、各クラウドサービスのリスクアセスメントを実施するのです。

重要なのは「大きな穴から塞ぐ」という発想です。リスクであっても、自社のビジネスに影響を与えないような「小さな穴」は、対策の優先順位を下げます。こうした順位付けは、各クラウドによって必要なセキュリティ機能が提供されているかどうかを○×方式で見るだけでは不可能です。

綾部：
ユーザー企業はリスク対策の優先順位を付けた上で、リスクヘッジに最適なクラウド事業者を選定することが重要なのですね。

とはいえクラウド事業者も全ての情報を開示しているわけではありません。特にSaaSでは、低価格をセールスポイントにした事業者も多く存在します。サイバーセキュリティの専門家である名和さんは、こうした事業者のセキュリティレベルを見抜くにはどのような方法があると考えますか。

名和：
事業者のセールストークや事業公開されているホワイトペーパーの情報だけでは、実際のセキュテリィレベルを判断することはできません。1つは、（ビジネス特化型SNSの）LinkedInで事業者の経営陣や役員のバックグラウンドを知ることです。また、転職サイトなどで、その事業者がどのような基準やポリシーで人材を選定しているかを確認することも有用でしょう。

技術的には、Webサーバーだけでなくインターネットに接続しているさまざまなコンピューターの情報を検索できるShodanを利用する方法もあります。Shodanでクラウド事業者のIPアドレスを割り出せば、その事業者の利用基盤を把握できます。

もう1つはサイバーセキュリティのシンポジウムやセミナーなどに参加することです。足しげく参加して複数の専門家に話を聞けば、事業者選定の際に有用な“事実”がある程度、見えてきます。

「Shadow IT」はもはや死語か

綾部：
もう1つ、ユーザー企業にとって大きな課題となっているのが「Shadow IT」です。クラウドが普及したことで、IT部門が管理または把握しないまま従業員（ユーザー）がSaaSやストレージサービスなどを利用するケースが後を絶ちません。

岸：
かつては「IT部門」と「ユーザー部門」の切り分けがありましたが、今やIT部門を介さずにユーザーがシステムを導入するようになってきています。例えば私が監査する企業では、RPA（Robotic Process Automation）をユーザー部門がイニシアチブを執って導入しているケースもよく見られます。つまり、ユーザーがビルダーになってきており、Shadow ITはもはやShadowではなくなっているのです。「ビルダー＝作る人」ですから、彼らがセキュリティに無知な人たちの集団であるという前提ではセキュリティ対策は機能しないという状況になりつつあります。

こうした傾向は今後も加速するでしょう。ですから、発想を変えて、ユーザー部門にもITリテラシーの高い人材やセキュリティ対策ができる人材を増やしていく必要があります。長期的視点からも、こうした施策は必須だと思います。

名和：
データのやりとりにクラウドのファイル転送サービスを利用している企業は少なくありません。過去にはこうしたサービスから情報漏えいがあり、調査の結果、2週間で1TBものファイルに不正アクセスがあったことが判明した海外組織のケースもありました。

こうした事態を避けるためにIT部門が実施するべきは、「教育」と「モニタリング」です。教育では四半期に一回はユーザー部門を対象にした勉強会を開催し、セキュリティ意識を高めてもらいます。また、モニタリングでは、攻撃を検知して調査・分析を行うEPP（エンドポイント保護プラットフォーム）や、攻撃された後の可視化や対応を迅速に行うEDR（エンドポイントにおける検知・対応ソリューション）といった製品を導入してネットワーク境界の監視・ログ収集を行い、CSIRT（Computer Security Incident Response Team）を設置して定期的に分析することです。

さらに、会社側に通信のモニタリングを許可してもらい、「どの従業員がどのクラウドサービスを利用しているのか」を把握することも重要です。そしてDNSプロトコルやプロキシを監視し、不審な通信や“変な動き”をしている従業員を徹底的にマークすることです。

綾部：
ネットワーク上でどのようなサービスにアクセスしているかを監視することで、リスクを低減するのですね。

綾部：
これまでのディスカッションから、クラウドのリスク対策は、一律では実施できないことが分かりました。よって、クラウドの利用が多様化すればするほど画一的なチェックシートなどではリスク評価ができなくなり、ユーザー企業側はクラウドサービスごとに発生し得るリスクを把握し、それぞれに対策を講じる必要があることも明確になったと思います。

クラウドの導入・推進は、これまでのIT調達とは異なるプロセスであることを理解しなければなりません。「便利だから使う」だけではなく、「その便利さにどのようなリスクが潜んでいるのか」を知り、適切な対策を講じることが重要だと痛感しました。本日はありがとうございました。