情報システム部門から見えないIaaS/PaaSがリスクの温床に
ビジネスのデジタル化が加速する中、アプリケーションの開発や業務サービスの運用基盤としてAmazon Web Services(以下、AWS)やMicrosoft Azure (以下、Azure) などのIaaS/PaaSを活用することは広く一般的になった。スモールスタートが可能で手続きも簡単なため、事業部門が直接、利用を申し込むケースも多い。
しかし、ここにある落とし穴が存在する。クラウド利用の全社方針が部門レベルまで周知・徹底されている企業でない限り、情報システム部門から見えない“野良アカウント”が増えがちなのだ。SaaSと異なり、インフラやプラットフォームを利用するIaaS/PaaSは、運用管理を自ら行わなければならない。ところが、多くの野良アカウントでは、運用管理やセキュリティ対策がおざなりになってしまう。それが企業に危機的な事態をもたらす可能性がある。
例えば、設定の不備やアプリケーションの脆弱性が放置されたIaaS/PaaSは、巧妙化するサイバー攻撃の格好の標的となる。攻撃を受けていることに気付きにくいため、被害も深刻化する。情報漏えいやシステム破壊といった自社の被害だけでなく、攻撃の踏み台にされて取引先などに被害を及ぼす可能性もあるだろう。こうなると、その企業の社会的信用は失墜し、ビジネスは立ちゆかなくなってしまう。
このような被害を防ぐには、資産管理の方法を早急に見直すことが必要だ。利用状況の変化が激しく、オンプレミスの機器のようなリスト管理が難しいIaaS/PaaSについては、従来の手法に代わる、新しい管理手法を考える必要がある。
クラウドならではの柔軟性やスピードを損なわず、安全なIaaS/PaaS活用を推進するにはどうすればよいのか。その方法について、次ページ以降で考える。