設定ミスの防止に向けてクラウドサービス利用者を対象とした設定ミス対策ガイドブックを公表 総務省
掲載:2024年05月28日
サイバー速報
目次
クラウドサービスの設定ミスによる情報漏えいなどのトラブルが増加しているとして総務省はこのほど、「クラウドの設定ミス対策ガイドブック」(以下、設定ミス対策ガイドブック)を公表しました。導入しているクラウドサービスの設定や契約を確認したり、新たにクラウドサービスを導入しようとしたりする際に活用できます。
設定ミス対策ガイドブックはクラウドサービス利用者向けに設定ミスのリスクを説明した上で、設定ミスの具体例や「責任共有モデル」といったクラウドサービスを利用する上で前提となる考え方、対策などを紹介しています。なお、対策については2022年10月に総務省が策定、公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」(以下、設定ガイドライン)を参照するよう求めています。
まず、設定ミスのリスクとして情報漏えいを挙げています。ファイルへのアクセスに設定ミスがあると、改ざんやマルウェア感染などの損害につながる可能性があると指摘しています。設定ミスの具体例では、2023年度に起きたインシデントの概要が紹介されています。大手企業の子会社や専門業者である委託先でも発生しているとして注意喚起しました。
クラウドサービス事業者が採用している「責任共有モデル」についても分かりやすく解説しています。これはセキュリティについて提供者と利用者が責任を分担するという考え方で、SaaS、PaaS、IaaSそれぞれで範囲が異なります。SI事業者を利用したり、APIを採用したりする場合はさらに注意が必要となります。
設定ミス対策では、設定ガイドラインに沿って、体制整備・ルール作り▽人材育成▽作業手順・マニュアル▽支援ツール――の4つに整理した上でそれぞれの対策を解説しています。
おすすめ記事
- クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~
- SSPM
- CSPM
- クラウドネイティブ
- ISMAP:政府情報システムのためのセキュリティ評価制度
- FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)
- ISO/IEC27017(CLS)― クラウドサービスのための情報セキュリティ管理策―
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- ISMAPの新制度「ISMAP-LIU」の運用を開始 NISCなど
- セキュリティリスクの小さい業務/情報処理に限ったSaaSを認定する「ISMAP-LIU」創設へ、意見公募を開始 NISCなど
- 「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に関する意見公募を開始、適切な設定を推進する取り組み事例も募集 総務省
- サイバー攻撃を想定したBCP策定を推奨、令和6年度の医療機関向けチェックリストを公表 厚労省
- 米・英・独・豪におけるクラウドサービス評価制度の実施状況調査結果を公開 IPA