企業のテレワーク導入に伴い、利用が増加しているクラウドサービス。クラウド上でデータの一元管理ができることやどこからでもアクセスできるため、多くの企業に導入されています。
しかし、クラウドサービスにおける利便性の反面、セキュリティや情報漏洩のリスクについて心配される方もいらっしゃるのではないでしょうか。
本記事では、クラウドサービスにおける情報漏洩の原因や実際に発生した事例、クラウドサービスにおけるユーザーとクラウド事業者の責任分岐点、情報漏洩を防ぐ対策について解説していきます。
1. クラウドサービスにおける情報漏洩の原因とは?
クラウドサービスにおける情報漏洩には、サイバー攻撃・システム障害・人為的な設定ミス・不正ログインなどがあります。原因を把握して、導入前の検討における情報収集や現在の状況見直しを行いましょう。
1-1. 悪意のあるサイバー攻撃による情報漏洩
利用しているクラウドサービス事業者のサーバーに対して、外部からのサイバー攻撃により情報漏洩する可能性があります。この場合、クラウドサービス事業者が最新のセキュリティ対策を行うなどが必要です。
利用者側では直接的な対策はできませんが、情報漏洩に備えてデータのバックアップを取得するなど、万が一に備えた対策を行いましょう。また、どのレベルまでの情報をクラウド上に保管するか慎重に判断することをおすすめします。
1-2. サーバーやデータセンターにおける障害や災害によるデータ消失
サーバーやデータセンターにおけるシステム障害や自然災害に伴う機器の故障によりデータ消失する可能性があります。クラウドサービス事業者側のシステム改修やメンテナンスが原因で障害の発生や地震や火災などの自然災害による機器の故障・破損でデータ消失が発生することもあり得るでしょう。
システム障害や自然災害は必ず発生しないとは言い切れませんよね。そのため、データ消失に備えてデータのバックアップ方法や代替クラウドサービスなどを検討しておきましょう。
1-3. クラウドの設定ミスによるアクセス制限情報を一般公開
使用しているクラウドサービスの人為的な設定ミスにより、機密情報を一般公開してしまう可能性があります。クラウドの設定で、人によって閲覧できる範囲を設定する権限管理やアクセス制御などが可能です。
クラウドサービスやセキュリティなどの知識がない方が誤って設定をしてしまい、インターネット上の誰もが機密情報を閲覧できてしまうリスクがあります。クラウドサービスの管理者や担当者に対して、教育を行うなど知識の底上げを行いましょう。
1-4. ユーザーアカウントの情報漏洩による不正ログイン
利用しているクラウドサービスのユーザーアカウントが流出すると不正ログインされ、情報漏洩につながります。ユーザーアカウントの流出には、不審なメールのリンクを開いた際のウイルス感染やユーザーアカウントの使い回し、会社外の場所でのログイン覗き見などが挙げられます。
そのため、不審なメールが届かないような迷惑メール設定やセキュリティソフトの導入、ユーザーアカウントはサービスごとに個別のパスワードを設定するなど対策を行いましょう。
2. クラウドサービスで発生した情報漏洩の事例
実際にクラウドサービスで発生した情報漏洩の事例をご紹介します。
実例からどのような原因で発生し、その影響範囲かどれくらいか学んでいきましょう。
企業 | 株式会社 JTB |
原因 | クラウドサービスに保管したデータへの個別アクセス権限の誤設定 |
事例詳細 | JTBが観光庁の補助事業者として実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」業務のため、観光庁や本事業への応募、申請等を行う事業者(間接補助事業者)との情報共有を目的として、当該関係者にログイン権限を限定したクラウドサービスを利用していた。同クラウドサービスの運用に際して、格納したデータへの個別アクセス権限を誤設定したことにより、ログイン権限を持つ間接補助事業者間において情報漏洩を発生させていたことが発覚。本来申請される間接補助事業者が自社の申請書以外にはアクセスできない仕様とすべきとこ ろ、当該クラウドサービス内に格納したデータへの個別アクセス権限を誤設定したことにより、 事業者の個人情報を含む本事業への申請書類および補助金交付申請書等の情報が、ログイン権限を持つ間接補助事業者相互に閲覧可能な状態となっていた。 |
影響 | 事業者数 1,698 件の申請書、申請事業者及び申請事業者の連携先等を含む個人情報最大 11,483 人分の情報漏洩 |
再発防止策 | アクセス権限設定のチェック体制ならびに事業管理体制の徹底強化 |
3. クラウドサービスにおける責任分岐点
クラウドサービスには、「使用する(ユーザー)側」と「提供する(クラウド事業者)側」があり、サービスに応じて責任範囲が異なるため注意が必要です。ここでは、クラウドサービスにおける責任範囲について解説していきます。
3-1. 責任分岐点とは
責任分岐点とは、ユーザーとクラウド事業者がそれぞれどこまでを責任範囲とするのかを定めた、境界線のことです。クラウドサービスには3種類があり、「IaaS」「PaaS」「SaaS」に分けられます。
クラウドサービスの種類によって、ユーザー側に責任が発生することがあるので注意が必要です。利用しているクラウドサービスにおいて問題が発生してからでは遅いため、事前に責任範囲を確認していきましょう。
3-2. IaaS
IaaSは、ストレージ・CPU・メモリなどのインフラ機能だけを利用できるサービスです。「イアース」あるいは「アイアース」と読みます。自社でアプリケーション開発を行いたいけど、サーバなどを設置する場所がない場合に利用されます。
IaaSの責任分岐点は以下です。
<ユーザー側>
データ・アプリケーション・ミドルウェア・OS
<クラウド事業者>
仮想化基盤・ハードウェア
ユーザーは、アプリケーションやミドルウェアに起因した障害などが発生した場合に責任が生じます。
3-3. PaaS
PaaSは、アプリケーションを開発するためのプラットフォームを利用できるサービスです。「パース」と読みます。OSやミドルウェアはクラウド事業者から提供されるため、ユーザーはアプリケーション開発に注力できます。
PaaSの責任分岐点は以下です。
<ユーザー側>
データ・アプリケーション
<クラウド事業者>
仮想化基盤・ハードウェア・ミドルウェア・OS
ユーザーは、自社開発したアプリケーションにおける責任が生じます。
3-4. SaaS
SaaSは、クラウド事業者が提供するアプリケーションを利用できるサービスです。「サース」あるいは「サーズ」と読みます。ユーザーはアプリケーションの設定と自社のデータを用意することでサービスを利用できます。
SaaSの責任分岐点は以下です。
<ユーザー側>
データ
<クラウド事業者>
仮想化基盤・ハードウェア・ミドルウェア・OS・アプリケーション
ユーザーは、アプリケーションの設定ミスやデータ管理において責任が生じます。
4. クラウドサービス導入における情報漏洩に備えた対策
クラウドサービス導入における情報漏洩対策には、テレワークの就業規則策定・バックアップ手段の選定・脆弱性対策・情報漏洩に備えたプロセス整備・セキュリティ担当者の教育・セキュリティソフトの導入などがあります。情報漏洩を未然に防ぐため、それぞれの対策を確認していきましょう。
4-1. テレワーク就業規則の策定
クラウドサービス導入により、テレワークなど会社外においても情報にアクセスできてしまいます。サービスをどこでも使用できるメリットがありますが、どこでも使用できることにより情報漏洩するリスクも高まります。
テレワーク時の就業規則を策定していない場合、カフェで作業している社員が覗き見されて情報漏洩するパターンも考えられるでしょう。会社外で使用する際は、自宅やコワーキングスペースなど場所を規制するルールを策定することも情報漏洩対策の1つです。
4-2. ハードディスクとクラウドにバックアップを分散する
クラウドデータのバックアップは定期的に取得する運用を取りましょう。こまめに取得することで、データ消失時の被害を最小に抑えることが可能です。
クラウドサービス上だけでバックアップを取得していると、クラウドサービスの障害や管理者の操作ミスに起因したデータ消失の可能性もあります。ハードディスクにもバックアップを取得することで、万が一クラウドデータが消失しても業務影響を抑えられるでしょう。
また、バックアップの保管期間を定めることで、クラウドサーバーやハードディスクの容量圧迫を抑えられます。
4-3. OSやアプリの脆弱性を発見したら対処する
OSやアプリケーションの脆弱性を原因とした情報漏洩もあります。脆弱性があると、マルウェアなどのウイルスに感染してパソコン内のファイルやパスワードの情報漏洩、スパムメールが大量に送られパソコンが遅くなり使い物にならないなど、さまざまなリスクが発生するでしょう。
リスクを避けるためにも定期的に脆弱性診断やウイルススキャンを行い、セキュリティソフトの導入も検討することをおすすめします。
4-4. 情報漏洩した際のプロセス整備
情報漏洩してしまった際は、企業には迅速な対応が求められます。2022年4月に施行された改正個人情報保護法により、個人情報取扱事業者に対して個人情報が漏洩した際の報告が義務化されました。情報漏洩対策だけでなく、報告期日までのプロセスの整備などが企業に求められます。
まずは、報告を行う必要がある情報漏洩のレベルについて確認を行い、報告義務がある「速報」と「確報」それぞれの報告期限を確認しましょう。次に、社内の報告ルートと個人情報保護委員会へのルート整備の2軸が必要です。報告ルートを策定することで、迅速な対応が可能になります。
4-5. セキュリティ担当者の教育
情報漏洩の発生原因に担当者のクラウドサービスの設定ミスがありましたね。たった一人の操作ミスで情報漏洩する可能性があります。設定ミスの原因には、クラウドサービスについての理解不足やセキュリティ関連の知識不足があげられるでしょう。
そのため、セキュリティ担当者に対して教育を行うことで設定ミスなどの情報漏洩を未然に防げます。クラウドサービスを理解するには利用しているサービス事業者が行っているセミナーや担当の営業に説明会を設定してもらうこと、セキュリティ関連の研修に参加することで知識不足を補えるでしょう。
4-6. セキュリティソフトの導入
情報漏洩を防止するために、セキュリティソフトの導入をおすすめします。導入することで、マルウェアからの感染防御や疑わしいサイトへのアクセスを遮断してくれます。
人はふとしたときに、怪しいメールのリンクを開いてしまうことがどうしてもあるので、セキュリティソフトを導入すると安心できるでしょう。
導入する際の注意点は、導入が簡単なことや誰でも操作できるユーザーインターフェースかの確認が必要です。ITの専門知識がない担当者でも使えるセキュリティソフトを導入しましょう。
まとめ
クラウドサービスにおける情報漏洩について、原因や対策、実際に発生した事例について解説しました。
これからクラウドサービスの導入を考えている方は、どの業務において、どのデータをクラウド化するのかを検討しましょう。既に導入している場合は、現状の対策に抜け漏れや脆弱性がないかを再確認してみてください。
社内に情報システム部門がない場合は、最新マルウェアなどのウイルスから社内情報を防御してくれるセキュリティソフトを導入してみてはいかがでしょうか。その中でも簡単に導入できて、誰でも使いやすいようなユーザインターフェースのソフトがおすすめです。