「サイバー攻撃ゼロ」でも1.2万人流出……実はあるある“SaaS事故”の「死角」とは?
今や業務に欠かせないMicrosoft 365やGoogle Workspace、Boxなどのコラボレーションツール。しかし、その便利さの裏で、たった1つの設定ミスが企業の命取りになりかねない時代が到来している。ある企業では、約1万2000人分の個人情報が6年間もインターネット上に晒され続けていた。この事態を招いた原因はサイバー攻撃ではなく、現場に潜む「ある盲点」だった。
(画像:Gemini/Nano Banana)
クラウドの「責任分界点」が生む新たなリスク
2021年以降、クラウドサービス上での情報漏えいインシデントが相次いで報告されている。ある組織では、機密情報を含むファイルが「インターネット上のすべての人が閲覧可能」という設定のまま放置され、約1万2000人分の個人情報が6年間にわたり公開状態にあった。担当者は設定にリスクがあること自体を認識できておらず、公開範囲を把握しないままファイルをアップロードし続けていたのである。
この背景には、クラウドサービス特有の「責任分界点(損害賠償責任などを負う範囲の明確化)」の問題がある。SaaSにおいて、インフラの管理はベンダー側が担うが、データやアクセス権限の管理は「利用者側」の責任となる。つまり、設定ミスによる情報漏えいについては、企業自身が対策を講じなければならない。
万が一インシデントが発生した場合、企業が負担するコストは莫大である。従業員数1000名規模の企業で5000人分の個人情報が漏えいした場合、初動対応から復旧・再発防止まで含めると約4,000万円から1億円の対応費用がかかると試算されている。さらに深刻なのは、ブランドイメージの低下による売上減や、3年~5年の長期的な株価下落(5%~43%)のリスクも抱えることとなる。
しかし手動の定期監査は、設定項目の複雑化によりすでに限界を迎えている。「誰が、どのデータを、どう公開しているか」をリアルタイムに洗い出せなければ、自社のSaaS環境に潜む「死角」に気づくことは困難だ。では、複雑なSaaS環境のリスクを私たちはどうすれば防げるのか。
この背景には、クラウドサービス特有の「責任分界点(損害賠償責任などを負う範囲の明確化)」の問題がある。SaaSにおいて、インフラの管理はベンダー側が担うが、データやアクセス権限の管理は「利用者側」の責任となる。つまり、設定ミスによる情報漏えいについては、企業自身が対策を講じなければならない。
万が一インシデントが発生した場合、企業が負担するコストは莫大である。従業員数1000名規模の企業で5000人分の個人情報が漏えいした場合、初動対応から復旧・再発防止まで含めると約4,000万円から1億円の対応費用がかかると試算されている。さらに深刻なのは、ブランドイメージの低下による売上減や、3年~5年の長期的な株価下落(5%~43%)のリスクも抱えることとなる。
しかし手動の定期監査は、設定項目の複雑化によりすでに限界を迎えている。「誰が、どのデータを、どう公開しているか」をリアルタイムに洗い出せなければ、自社のSaaS環境に潜む「死角」に気づくことは困難だ。では、複雑なSaaS環境のリスクを私たちはどうすれば防げるのか。
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
あなたの投稿
