SaaS／PaaSの利用拡大に伴い増加する“情報漏えい”、実例から学ぶ回避策とは？

　SaaSやPaaSの利用率は増加傾向にあるが、利用企業が管理しなくてはならないクラウド数も増えたことで、クラウドサービス利用における情報漏えいなどのインシデントのリスクが顕在化している。実際の事例として、サービスや機密情報に関するアクセス権の設定ミスや、認証情報の管理不備が原因で、大量の顧客情報が数年単位で不特定多数の第三者に閲覧・持ち出しできる状態になっていた事件などがある。

　こうした設定ミスや管理不備の原因として「SaaS／PaaSの場合、サーバの運用管理が不要なことからシステム部門を介さず直接利用部門のみで利用できること」「サービスごとに仕様が異なり、それが頻繁に変更されること」などが挙げられる。こうした原因を背景に、インシデントを招くことなく安全にSaaSやPaaSを利用するためにはどのような対処が必要だろうか。

　本資料では、SaaSやPaaSといったクラウドサービスの利用拡大に伴い顕在化するリスクと、それらのリスクに起因するインシデントの典型例を紹介している。これらの典型例を通じて、なぜインシデントが引き起こされるのかを理解し、そこから得られた知見を情報漏えい対策を講じる際に役立ててほしい。