設定ミスの防止に向けてクラウドサービス利用者を対象とした設定ミス対策ガイドブックを公表 総務省

掲載:2024年05月28日

サイバー速報

         
目次

クラウドサービスの設定ミスによる情報漏えいなどのトラブルが増加しているとして総務省はこのほど、「クラウドの設定ミス対策ガイドブック」(以下、設定ミス対策ガイドブック)を公表しました。導入しているクラウドサービスの設定や契約を確認したり、新たにクラウドサービスを導入しようとしたりする際に活用できます。

設定ミス対策ガイドブックはクラウドサービス利用者向けに設定ミスのリスクを説明した上で、設定ミスの具体例や「責任共有モデル」といったクラウドサービスを利用する上で前提となる考え方、対策などを紹介しています。なお、対策については2022年10月に総務省が策定、公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」(以下、設定ガイドライン)を参照するよう求めています。

まず、設定ミスのリスクとして情報漏えいを挙げています。ファイルへのアクセスに設定ミスがあると、改ざんやマルウェア感染などの損害につながる可能性があると指摘しています。設定ミスの具体例では、2023年度に起きたインシデントの概要が紹介されています。大手企業の子会社や専門業者である委託先でも発生しているとして注意喚起しました。

クラウドサービス事業者が採用している「責任共有モデル」についても分かりやすく解説しています。これはセキュリティについて提供者と利用者が責任を分担するという考え方で、SaaS、PaaS、IaaSそれぞれで範囲が異なります。SI事業者を利用したり、APIを採用したりする場合はさらに注意が必要となります。

設定ミス対策では、設定ガイドラインに沿って、体制整備・ルール作り▽人材育成▽作業手順・マニュアル▽支援ツール――の4つに整理した上でそれぞれの対策を解説しています。