株式会社アシュアードは10月27日、クラウドサービス事業者における内部不正・過失による情報漏えい対策の実態についての調査結果を発表した。
同調査は、同社が運営するセキュリティ評価プラットフォーム「Assured」でのセキュリティ調査に回答し、セキュリティ評価チームによる第三者評価を実施した1,161件のクラウドサービスの評価情報から、内部要因の情報漏えい対策に関わる項目の回答傾向を抽出し、まとめたもの。
同調査によると、従業員の預託データへのアクセスを原則禁止とし、必要な場合のみ事前承認を得たものに限定しているのは93.1%だが、文書化された手続きや機能に基づき実施したうえで定期的な見直しまでできているのは80.4%にとどまった。未実施も6.4%あった。
預託データへのアクセス・操作ログを定期的にモニタリングしているのは87.4%で、そのうち文書化された手続きや機能に基づき実施し、定期的な見直しまでできているのは71.6%だった。未実施は10.9%で、10事業者に1事業者が実施できていないことが判明した。
多くのクラウドサービスではアクセス・操作ログの定期的なモニタリングを実施しているが、社内ルール違反等の挙動監視を実施しているのは54.9%で、内部および外部からの不正アクセスや不正利用の監視を実施しているのは76%だった。人手による定期的なモニタリングは限界があるため、同レポートでは、不審な挙動をAIが自動検知するようなソリューションの活用を推奨している。
USBメモリ等の持ち運び可能な外部記憶媒体を利用するのは情報管理の観点でリスクのある状態だが、12.1%で利用されており、63.1%がシステム上での制御ができていないことが判明した。
