NTIブログ

“知らなかったAWS”が命取り──セキュリティ監査で詰む会社の共通点とは?

暗闇に浮かぶクラウド(くも)

この記事でわかること

情シス担当なら誰しも一度はヒヤリとしたことがある“シャドーIT”。
なぜ対策しても発生するのか?その背景には、今のビジネス環境と組織構造のすれ違いがあります。
本記事では、従来のガバナンスの限界と、これから求められる情シスの新しい役割を具体的に解説します。

なぜ「勝手に立てられたAWS」は後を絶たないのか

「開発からFW設定変更の依頼が来たけど…このサーバー、うちの資産台帳に載ってないぞ?」

こんな場面に覚えがある方も多いのではないでしょうか。
特に、IPO準備や内部統制の強化を進めている企業にとっては、まさに肝を冷やす瞬間です。

この「聞いてないAWS」の存在は、単なる連絡ミスでは済まされません。
放置されたままのクラウド資産が“爆弾”になる兆しであり、見過ごせないセキュリティ債務の表面化です。

「すみません。あのS3バケット、一時的に公開してたんですが、もう閉じました」
「え、本番DBと繋がってる?検証用だったんですけど…」

こんな無邪気な一言が、監査では命取りになります。
問題は、事業部門が「これは会社のIT資産だ」という認識を持たないまま、便利ツールの延長でクラウドを使い始めてしまう点にあります。

その結果、「それ、うちで把握してないです」「管理の対象外でした」といった事態が、監査の場で発覚するのです。

「資産台帳で管理」は、もう限界

こうしたクラウド資産の“抜け漏れ”を防ぐために、多くの企業では「年に一度の脆弱性診断」や「資産台帳による管理」といった従来の方法が使われてきました。

しかし、これらはすでに現場のスピード感に追いついていません。
脆弱性診断は、実施時点の“写真”を撮っているにすぎず、その翌日に新たな環境が立てられれば、次回の診断までチェックされることはありません。

同様に、Excelや手作業による台帳管理も、クラウドの動きの早さに対応できていないのが現実です。

この問題は、データでも裏付けられています。Gartner社は
「2025年までにクラウドで起こるセキュリティ事故の99%は、ユーザー側の設定ミスによるもの」と予測。
IPAの
「情報セキュリティ10大脅威 2024」でも、「設定ミスによる情報漏えい」は組織にとって深刻なリスクとされています。

つまり、クラウドが危険なのではなく、「何がどこにあるかを把握できていないこと」が最大のリスクなのです。

本質的な課題

細かなルールや手作業で追いかけても、現場のスピードには勝てません。
むしろ業務の足かせになり、かえってガバナンスを形骸化させてしまう危険すらあります。

“門番”から“航空管制官”へ──情シスの役割を変える

では、どうすればこうした“見えない資産”をコントロールできるのでしょうか。
必要なのは、情シスの役割そのものを見直すことです。

従来のように「あらゆるIT資産は情シスが事前に承認・制御するべき」という“門番(ゲートキーパー)”的なスタンスでは、スピード感のある現場についていけません。

これからの情シスに求められるのは、「どんな資産が、どこで動いているのか」を常に把握し、安全に導く“航空管制官”のような存在です。

そのためには、全社の“空域”を見渡す「レーダー」が必要になります。
すなわち、自社のインターネット上の資産を、許可・無許可に関係なく可視化し、リスクを早期に捉える仕組みが必要です。

これを実現するのが、ASM(Attack Surface Management)PTaaS(Penetration Testing as a Service)です。

  • ASM: 攻撃者と同じ外部視点で、企業に紐づくサーバーやドメインを自動発見・可視化します。
  • PTaaS: 見つかった資産に対し、脆弱性や設定ミスがないかを自動で継続的にチェックします。

実際、弊社が実施したPoCでは、お客様が「把握している資産」よりも多くの“未把握の環境”が検出されました。

これは決してレアなケースではなく、むしろ“見えていなかった資産”が常にリスクになっていた証拠でもあります。

攻撃者が見ているのは“価値”ではなく“スキ”

セキュリティ対策というと、「うちは重要な情報を扱っていないから大丈夫」という認識を持ってしまいがちです。

しかし、攻撃者の視点はまったく異なります。
彼らが狙うのは、“価値のある情報”ではなく、“入りやすい穴”です。

つまり、「うちは重要情報を持っていないから大丈夫」ではなく、
「知らないうちに“攻撃しやすい企業”として見えてしまっていないか」が問われているのです。

そして、そうした“穴”は、往々にして「誰も把握していないIT資産」から生まれます。
つまり、まずは“全体像を把握する”ことが、何よりも重要なのです。

まとめ:「監査」は日常のプロセスになる

ここまで見てきたように、シャドーITの問題は単なる現場の不注意ではなく、
「事業部門のスピード」と「IT部門の管理」の間にある構造的なギャップから生まれています。

このギャップを埋めるために、情シスは「制限する役割」から「見守り導く役割」へとシフトする必要があります。
その転換を支えるのが、ASMやPTaaSのような技術です。

これらを活用すれば、セキュリティ監査はもはや「年に一度の大仕事」ではなく、
日々の運用の中で自然とリスクを把握し、説明責任を果たす「当たり前のプロセス」に変わっていきます。

それこそが、ビジネスのスピードを止めずにリスクを管理する、“攻めのガバナンス”の第一歩です。

自社の「レーダー」は、すでに動いていますか?
攻撃者と同じ視点で、まずは見えていないリスクを洗い出すことから始めましょう。
弊社が提供する「BreachRisk」の詳細はこちら。

※記載された社名、製品名、ロゴマークは各社の商標または商標登録です。