クラウド化を進めていくとセキュリティよりも内部統制が重要になる

クラウド化へのシフト

「クラウドストレージは便利なんですけど・・・」

ある情シスのリーダーが嘆きました。

中小企業A社は、コロナ禍で一気に「クラウド化」を進めます。テレワークに対応し、社外からVPN接続でアクセスできるようになり、社員にも好評でした。

一方で、A社には多くの「機密情報」があります。このデータをクラウドストレージに置くことは、情報漏洩のリスクが大きくなります。

そのため、A社の情シスは、機密情報を格納したオンプレサーバーは外部接続を不可能とし、出社しないと参照できない環境にしました。

現場からは、このオンプレサーバーをクラウドに移行してほしいという要望を多く受けましたが、情シスはかたくなに拒否します。

このスタンスを取り続けた情シスは素晴らしいと思います。

しかし、テレワークするには、このデータへのアクセスが不可欠です。そのため、利用するファイルだけを「一時的」にクラウドストレージに格納し、対応が完了したら「すみやかに削除」するルールとしました。

データの「原本」は、あくまでオンプレサーバーで管理するという運用です。

この運用は、理想と現実の間をとった「落とし所」として機能しているように見えました。少なくとも1〜2年は。

ところが、3年目を過ぎたあたりから、ある問題が浮上してきました。

そりゃそうなるよね

ある日、クラウドストレージのベンダーから契約プランの「アップグレード」の連絡がきました。

クラウドストレージの使用量が、ここ一年で大幅に増えていたのです。各部署の利用状況を調べてみると、どの部署もオンプレサーバーと同等のフォルダ構成に「成長」しており、ファイル数も激増していました。

つまり、一時的な置き場であるはずのクラウドストレージが事実上の「マスタ化」していたのです。

出社しないと見れないオンプレサーバーの使い勝手は悪く、現場は利用後のファイルを削除しなくなっていました。

情シスは焦ります。

今さら、オンプレサーバーの運用に戻すのは難しいでしょう。「現場の足を引っ張る情シス」と苦情が殺到するのは目に見えています。

しかし、このままだと情報漏洩リスクが高く、取り返しのつかない事故がいつ起きてもおかしくありません。

情シスはどうするべきなのでしょうか？

クラウド環境では内部統制が不可欠

クラウド化が進む現代では、従来のセキュリティ対策だけでなく「内部統制」を強化することが不可欠です。

クラウド環境では、オンプレミスよりもデータを持ち出しやすく、内部不正のリスクが高まるからです。

クラウドサービスは、セキュリティの専門家により、外部からの攻撃を守ってくれています。ランサムウェアなどの大規模な被害を及ぼすリスクも、クラウド環境ではある程度軽減されます。

しかし、防御壁の内側での「内部犯行」は、その範囲外です。

特にテレワークが普及し、社外から社内情報にアクセスできる環境が一般化している現在、内部統制の重要性はますます高まっています。

内部統制ソリューション

A社の情シスは「内部統制ソリューション」の選定を進めました。

主な要求機能は、以下の通り。
・社内PCやクラウドサービスのログ監視
・許可されていないクラウドストレージへのファイルアップロード検知
・外部記憶媒体へのデータコピーや印刷の監視
・内部不正の振る舞いをAIで検知

複数のソリューションをリストアップし、ヒアリングを重ねます。その中で、最も評価の高かったソリューションの「トライアル」を行うことにしました。

トライアル中は、PCの操作ログとクラウドストレージの操作ログを提供し、それをベンダー側が解析します。

その後、ベンダーから「トライアル結果レポート」の説明を受けました。

情シスは青ざめます。出るわ出るわの怪しい操作の数々・・・。

トライアル結果レポート

ベンダーから以下の説明を受けました。
・クラウドストレージへの大量アップロード＆ダウンロード（XX名、XX件）
・プライベートアドレスへのフォルダ共有（XX名、XX件）
・会社プリンタ以外での印刷（XX名、XX件）
・大量ダウンロードと同時期に転職サイト閲覧者（XX名、XX件）
・使用を認めていないクラウドストレージの利用（XX名、XX件）
・使用を認めていないチャットツールの利用（XX名、XX件）

まず全体統計の説明があり、その後に個別の詳細説明へと移ります。特にリスクの高い社員とリスクの高い操作については、絶句しました。

情シスの緊急対応

情シスは、至急調査を開始します。

幸いなことに、その大部分は業務で必要な操作とのこと。

顧客が指定したクラウドストレージやチャットツールを用いて、顧客にファイル連携するものでした。プライベートアドレスに転送したのも、顧客の指定アドレスでした。

だとしても、「野放し」にしていいはずがありません。

顧客要望だからと何でも許してしまうと、クラウド環境は無法地帯となり、大きな「セキュリティホール」となるだけです。

一方で、顧客指定ではないグレーな行為も散見されます。

業務上の正当性がないチャットアプリやストレージアプリは、情シス立ち会いのもと、アンインストールしました。

大量のファイルダウンロードを行い、転職サイトを多くチェックしている社員には状況を確認し、データの削除を確認します。

これらの凄まじい結果を受けて、A社はこの内部統制ソリューションの正式導入を決定するのでした。

課題は山積み

「これからますます忙しくなりそう・・・」

情シスリーダーは嘆きました。

というのも、情シスの課題は山積みだからです。

まず、検知された不正アプリの穴を、順次塞いでいきます。PC管理ソフトの禁止アプリに追加して、インストールを不可能にします。

顧客から指定のあったクラウドサービスやアプリは、申請してもらい、情シス確認後に許可する運用としました。

ただし、すべてを禁止として申請する運用にすると、情シスの負荷が高くなりすぎます。そのため、バランスをとりながら、ある程度は制御を外して、リスクの高い行為は検知後、個別に穴を塞ぐ運用にしました。

他方、怪しい行為を検知した場合は、地道にヒアリングをしていきます。このような一貫した姿勢を見せることで、現場には牽制となり、不正の抑止につながります。

また、オンプレとクラウドの棲み分けを明確にし、運用ルールとして浸透させていく必要もあります。クラウド時代に合わせた現場の利便性とセキュリティを両立させる新たな「運用デザイン」が求められます。

情シスの根本対応

これらの対応で、最も大きな問題は別にあります。

それは、情シスの負荷が異常に高くなること。

内部統制に関する一連の対応は、従来はなかった完全な「新規タスク」だからです。ただでさえ忙しい情シスなのに、ますます首が絞まっていきます。

「気合いで対応します」とため息まじりの情シスリーダー。

「いやいや、真剣に増員を考えていきましょうよ」と返す私。

情シスの役割整理（コアとノンコアの明確化）と増員計画、情シス強化ロードマップを作り、経営層に説明し、予算を確保する方針としました。

貴社のIT部門・情報システム部門は、クラウド化と並行して、内部統制強化に取り組んでいますでしょうか？