総務省が発行した「クラウドサービス利用・提供における適切な設定のためのガイドライン」

ここ数年、クラウドサービスを利用する企業において、情報流出のおそれに至る事案が増加しており、クラウド利用時のリスクが社会的な課題になっています。その原因の多くは利用者による設定ミスであることから、総務省は2022年10月に「クラウドサービス利用・提供における適切な設定のためのガイドライン」を公表し、クラウドサービスを利用している各企業に対して注意喚起を促しました。

日本特有の事情として、各クラウド（AWS、Azure、GCP）の運用は、各システムごとに発注されたベンダ（SIer）が担っていることが多く、その場合は、クラウドを利用する企業が発注者であり、クラウドのセキュリティ担保や設定については、各ベンダ（Sler）が担保することになります。しかし、実際には各ベンダのセキュリティに対する考え方はそれぞれで、クラウドを利用する企業側（発注者）からも、明確なセキュリティ基準が示されることは少なくありません。これでは、セキュリティ基準の統制が効かず、セキュリティ事故が起きた場合には、クラウドを利用する企業側とクラウドベンダの認識齟齬が生じる可能性が高くなります。

総務省による「クラウドサービス利用・提供における適切な設定のためのガイドライン」の基本方針「クラウドサービス利用におけるガバナンスの確保」では、ベストプラクティスとして、企業や組織におけるクラウド利用方針やガバナンスを集中的に行う役割としてCCoE(Cloud Center of Excellence)を設置し、組織横断的にクラウドの管理をすべきと提言されています。

さらにCSPMを用いて、継続的に管理部門がセキュリティチェックを行い、クラウドサービスの運用の実態を把握することを推奨しています。本ホワイトペーパーでは、CSPMのマーケットリーダーであるPrisma Cloudを用いて、どのようにガイドラインの指示項目に沿った設定や運用を実現できるのかを解説し、併せてCSPM導入のポイントも紹介します。