クラウドサービスの管理不足で起こる重大トラブル 効率よく管理する方法とは
企業におけるSaaSの利用が拡大する一方だ。大塚商会が主催する実践ソリューションフェアでは、SaaS利用の拡大に管理が追い付いていない理由や管理不足によって発生するインシデントについて、ジョーシスの中島啓介氏が解説した。
大塚商会は2026年2月4日から6日にかけて、「実践ソリューションフェア2026」を開催した。
セミナーの一つで、ジョーシスの中島啓介氏(チャネル営業統括部 第一営業部 部長)が登壇した。中島氏は「『Excel台帳はもう限界!』増えるSaaSを効率管理する次の一手」と題したセミナーにおいて、以下の3つの内容について語った。
- なぜ、クラウドサービス利用が増えているのか?
- なぜ、クラウドサービスを管理しなければいけないのか?
- なぜ、Excelでは管理が不十分なのか?
増えるクラウドサービス 管理不足で発生する取り返しのつかないトラブルとは
中島氏は冒頭、クラウドサービス利用が増えている要因として、リモート勤務の増加や雇用形態の多様化が進み、SaaSの利用により業務の生産性向上を図る企業が増加していることを挙げた。
「コロナ禍の前後で、一企業当たりの年間SaaS利用数は数倍に増加している。そうした中、数十ものクラウドサービスにおいて従業員数分が管理対象となることで、以前は管理できていた限界値を突破している」
中島氏は、IT部門以外の各部門主導によるサービス導入が増加し、どのSaaSを誰がどのような権限で利用しているのかが不明瞭になってしまい、さらに生成AI利用が重なることで、IT利用管理が不可能になっていると指摘した。
続いて中島氏は、クラウドサービスを管理しなければいけない理由について、サービスの管理に付随するセキュリティリスクを提示した。
「退職した従業員のアカウント削除漏れや業務を外部に委託した際の権限の過剰な付与などにより、社内情報の不正利用やパスワードの漏えいなどが発生する。IDCの調査によると、58%の企業がそれらの監査不備によりセキュリティインシデントを経験している」と述べ、現場が使っているクラウドサービスを把握できているか、と問いを投げた。
中島氏は、IT部門公認のSaaS管理において表面上は問題が発生していなくても、未申請SaaSの管理が行き届いておらず、水面下で問題が発生している場合があると説明した。ランサムウェアなど含め昨今のセキュリティインシデントは管理外にあるSaaSをきっかけとして起こる可能性が高く、そうした場合情報漏えいが起きても気付けない、気付いたときには取り返しのつかない状態になりかねない。
「把握しきれていないSaaSは、使用の有無や使いこなせているか、本当に経費を払う必要があるものかということも考えなければならない。承認済みのSaaSに限らず、どの部署において誰がどれだけ使用しているか把握してこそ、セキュリティリスクを減らすための管理が始まったと言える」(中島氏)
また、業務委託のIDやパスワードが盗まれ、それを起点に外部クラウドサービスやデータセンターにおけるランサムウェアの被害拡大につながった事例を紹介し、「セキュリティの不備に気付いていても、それくらいだったら狙われないと思われるところこそ、実際に狙われて事故が発生する」と語った。
クラウドサービス管理リスクを減らすための方法とは
ではクラウドサービスは結局どう管理すべきか。
中島氏は、クラウドサービス管理がなぜ限界なのかについて、「人手で台帳を管理しているため、更新漏れや表記揺れ、確認工数の増大など、精度や効率の面で限界に達している。また、アカウントの棚卸し不足や、特定の管理担当者に依存した管理体制も問題だ」と述べた。
世の中の変化に合わせてクラウドサービスやAIの利用が増えて、手動のExcel管理が不十分になっている。そのような状況で、少しでもリスクを減らすためにどういった手段を取ればよいのだろうか。
中島氏は、「クラウドサービスの管理だからといって特異的な話ではない。デバイス管理などと同じく、(国立標準技術研究所《NIST》の)サイバーセキュリティフレームワークに当てはめて管理するとよい」と述べた。
サイバーセキュリティフレームワークは、「把握」「防御」「検知」「対応」「復旧」の5つの要素で構成される。まず、どこから情報漏えいしそうなのかという「把握」から始めるという、検知よりも前にIT環境などの把握を行う「シフトレフト」の視点が非常に重要だ。
「どこにセキュリティの穴があるか把握せずに防御ツールを入れたとしても、本当にそのツールで穴がふさげたか、穴があったかすら分からなくなる。まずは、どこの部署において誰がリスクを抱えているかを含めて、それを具体的なところまで見ていく必要がある」
また、中島氏は、リスクを発生させないために「可視化」「棚卸し」「運用」のサイクルを回す必要があると語った。
「可視化」とは、公認・非公認問わず全SaaSについて、それらのアカウントにおける活用状況や管理状態、退職者などの削除漏れを把握することだ。それを基に「棚卸し」して、利用目的が誤っているSaaSや不要なアカウントを可視化する。そして、不要なものや利用実態のないアカウントに関しては「運用」の中で社内ルールやポリシーに合わせて削除や権限管理の対象として、可視化につなげる。こうした一連のサイクルが、クラウドサービス利用を管理する上で重要だと結論付けた。
Copyright © ITmedia, Inc. All Rights Reserved.