「クラウドサービスのセキュリティ対策」実態調査

クラウドサービスの普及に伴い、約4割の企業が第三者の設定チェックサービスやツールを利用しているという結果に

エムオーテックス株式会社（以下MOTEX）は、クラウドサービスを利用している従業員数300人以下の中小企業の情報システム担当者様を対象に実施した、 クラウドサービス利用に対するセキュリティ対策の実態調査を発表した。

「『クラウドサービスのセキュリティ対策』実態調査」資料ダウンロードはこちら（無料）
https://go.motex.co.jp/l/320351/2023-06-19/91grvx

調査背景

昨今、働き方改革やコロナ禍におけるテレワークの浸透、あるいはDX（デジタルトランスフォーメーション）推進による業務の効率化・生産性向上を目指し、クラウドサービスを導入される企業・組織が増えている。

クラウドサービスは大きなメリットがある一方で、クラウドサービスにはクラウドならではの情報セキュリティリスクもあり、インターネット上にデータが公開されるため、ゲストユーザー（社外からのアクセス）の管理や、ファイル共有範囲の設定には細心の注意が必要となる。クラウドサービスを提供している事業者側から、セキュリティ対策として脆弱性の是正や機能改善といった定期的なアップデートがなされるが、クラウドサービスを利用する側においても、自社の利用目的にあった適切な設定になっているか、利用者側の責任で定期的な確認が求められる。

また、万が一不正アクセスや情報漏洩といったセキュリティインシデントが起きてしまった場合、昨今は改正個人情報保護法により事業者に情報漏洩が発生した際の報告義務が課せられるなど、企業・組織にはインシデント発生時の原因調査・分析や再発防止策の検討・実施が求められている。そのためにも、クラウドサービスのアクセス履歴や操作履歴など、利用状況を記録するログ（監査ログ）を取得・保管しておく必要があり、実際、日本セキュリティ監査協会や内閣サイバーセキュリティセンター（NISC）といった団体からは1年以上のログ保管が望ましいという提言がなされている。

このように、ビジネスにおけるクラウドサービス利用には、定期的な設定確認やログ管理といった情報セキュリティ対策が求められる。しかし、特に中小企業においては、セキュリティ人材の確保やリソースに制限があるなかで、「必要なセキュリティ対策を実施できていない」または「対策したいが具体的な方法が分からない」「対策しているが果たして適切に出来ているのか分からない」といったご担当者様が多いと思われる。

そこで今回、MOTEXではクラウドサービスを利用している従業員数300人以下の中小企業において、情報システムに携わっている方を対象に「クラウドサービスに対するセキュリティ対策」の実態確認した。

【調査方法】

【調査内容】

・お勤め先の企業では、クラウドサービスで秘密情報を取り扱う際のセキュリティ対策はできていますか？
・監査ログの定期的な監視やチェックはできていますか？
・監査ログの定期的なチェックや運用ができていない理由はなぜですか？
・監査ログの定期的なチェックや運用ができていないことで、設定不備やインシデントにつながったことはありますか？
・どのようなインシデントが発生したか具体的に教えてください
・自社で利用しているクラウドサービスについて、定期的に設定状況の見直しはできていますか？
・お使いのクラウドサービスで、不安のある設定はありますか？
・クラウドサービスの設定状況について、第三者による設定チェックのサービス（診断サービス等）を受けたことがありますか？
・第三者による設定チェックのサービス（診断サービス等）を受けたきっかけは何ですか？

出典：PRTimes　中小企業の情報システム担当者1,000名に聞いた！「『クラウドサービスのセキュリティ対策』実態調査」を発表