お役立ち情報

ブログ

  • 2022.11.28. クラウドサービスにおいて情報漏洩が発生してしまう原因と対策、事例についても解説



    企業のテレワーク導入に伴い、利用が増加しているクラウドサービス。クラウド上でデータの一元管理ができることやどこからでもアクセスできるため、多くの企業に導入されています。


    しかし、クラウドサービスにおける利便性の反面、セキュリティや情報漏洩のリスクについて心配される方もいらっしゃるのではないでしょうか。


    本記事では、クラウドサービスにおける情報漏洩の原因や実際に発生した事例、情報漏洩を防ぐ対策について解説していきます。

     

      

     

    1. クラウドサービスにおける情報漏洩の原因とは?

    クラウドサービスにおける情報漏洩には、サイバー攻撃・システム障害・人為的な設定ミス・不正ログインなどがあります。原因を把握して、導入前の検討における情報収集や現在の状況見直しを行いましょう。

     

     

    1-1. 悪意のあるサイバー攻撃による情報漏洩

    利用しているクラウドサービス事業者のサーバーに対して、外部からのサイバー攻撃により情報漏洩する可能性があります。この場合、クラウドサービス事業者が最新のセキュリティ対策を行うなどが必要です。


    利用者側では直接的な対策はできませんが、情報漏洩に備えてデータのバックアップを取得するなど、万が一に備えた対策を行いましょう。また、どのレベルまでの情報をクラウド上に保管するか慎重に判断することをおすすめします。

     

     

    1-2. サーバーやデータセンターにおける障害や災害によるデータ消失

    サーバーやデータセンターにおけるシステム障害や自然災害に伴う機器の故障によりデータ消失する可能性があります。クラウドサービス事業者側のシステム改修やメンテナンスが原因で障害の発生や地震や火災などの自然災害による機器の故障・破損でデータ消失が発生することもあり得るでしょう。


    システム障害や自然災害は必ず発生しないとは言い切れませんよね。そのため、データ消失に備えてデータのバックアップ方法や代替クラウドサービスなどを検討しておきましょう。

     

     

    1-3. クラウドの設定ミスによるアクセス制限情報を一般公開

    使用しているクラウドサービスの人為的な設定ミスにより、機密情報を一般公開してしまう可能性があります。クラウドの設定で、人によって閲覧できる範囲を設定する権限管理やアクセス制御などが可能です。


    クラウドサービスやセキュリティなどの知識がない方が誤って設定をしてしまい、インターネット上の誰もが機密情報を閲覧できてしまうリスクがあります。クラウドサービスの管理者や担当者に対して、教育を行うなど知識の底上げを行いましょう。

     

     

    1-4. ユーザーアカウントの情報漏洩による不正ログイン

    利用しているクラウドサービスのユーザーアカウントが流出すると不正ログインされ、情報漏洩につながります。ユーザーアカウントの流出には、不審なメールのリンクを開いた際のウイルス感染やユーザーアカウントの使い回し、会社外の場所でのログイン覗き見などが挙げられます。


    そのため、不審なメールが届かないような迷惑メール設定やセキュリティソフトの導入、ユーザーアカウントはサービスごとに個別のパスワードを設定するなど対策を行いましょう。

     

     

     

    2. クラウドサービスで発生した情報漏洩の事例

    実際にクラウドサービスで発生した情報漏洩の事例をご紹介します。

    実例からどのような原因で発生し、その影響範囲かどれくらいか学んでいきましょう。

     

    3. クラウドサービス導入における情報漏洩に備えた対策

    クラウドサービス導入における情報漏洩対策には、テレワークの就業規則策定・バックアップ手段の選定・脆弱性対策・情報漏洩に備えたプロセス整備・セキュリティ担当者の教育・セキュリティソフトの導入などがあります。情報漏洩を未然に防ぐため、それぞれの対策を確認していきましょう。

     

     

    3-1. テレワーク就業規則の策定

    クラウドサービス導入により、テレワークなど会社外においても情報にアクセスできてしまいます。サービスをどこでも使用できるメリットがありますが、どこでも使用できることにより情報漏洩するリスクも高まります。


    テレワーク時の就業規則を策定していない場合、カフェで作業している社員が覗き見されて情報漏洩するパターンも考えられるでしょう。会社外で使用する際は、自宅やコワーキングスペースなど場所を規制するルールを策定することも情報漏洩対策の1つです。

     

     

    3-2. ハードディスクとクラウドにバックアップを分散する

    クラウドデータのバックアップは定期的に取得する運用を取りましょう。こまめに取得することで、データ消失時の被害を最小に抑えることが可能です。


    クラウドサービス上だけでバックアップを取得していると、クラウドサービスの障害や管理者の操作ミスに起因したデータ消失の可能性もあります。ハードディスクにもバックアップを取得することで、万が一クラウドデータが消失しても業務影響を抑えられるでしょう。


    また、バックアップの保管期間を定めることで、クラウドサーバーやハードディスクの容量圧迫を抑えられます。

     

     

    3-3. OSやアプリの脆弱性を発見したら対処する

    OSやアプリケーションの脆弱性を原因とした情報漏洩もあります。脆弱性があると、マルウェアなどのウイルスに感染してパソコン内のファイルやパスワードの情報漏洩、スパムメールが大量に送られパソコンが遅くなり使い物にならないなど、さまざまなリスクが発生するでしょう。


    リスクを避けるためにも定期的に脆弱性診断やウイルススキャンを行い、セキュリティソフトの導入も検討することをおすすめします。

     

     

    3-4. 情報漏洩した際のプロセス整備

    情報漏洩してしまった際は、企業には迅速な対応が求められます。2022年4月に施行された改正個人情報保護法により、個人情報取扱事業者に対して個人情報が漏洩した際の報告が義務化されました。情報漏洩対策だけでなく、報告期日までのプロセスの整備などが企業に求められます。


    まずは、報告を行う必要がある情報漏洩のレベルについて確認を行い、報告義務がある「速報」と「確報」それぞれの報告期限を確認しましょう。次に、社内の報告ルートと個人情報保護委員会へのルート整備の2軸が必要です。報告ルートを策定することで、迅速な対応が可能になります。

     

     

    3-5. セキュリティ担当者の教育

    情報漏洩の発生原因に担当者のクラウドサービスの設定ミスがありましたね。たった一人の操作ミスで情報漏洩する可能性があります。設定ミスの原因には、クラウドサービスについての理解不足やセキュリティ関連の知識不足があげられるでしょう。


    そのため、セキュリティ担当者に対して教育を行うことで設定ミスなどの情報漏洩を未然に防げます。クラウドサービスを理解するには利用しているサービス事業者が行っているセミナーや担当の営業に説明会を設定してもらうこと、セキュリティ関連の研修に参加することで知識不足を補えるでしょう。

     

     

    3-6. セキュリティソフトの導入

    情報漏洩を防止するために、セキュリティソフトの導入をおすすめします。導入することで、マルウェアからの感染防御や疑わしいサイトへのアクセスを遮断してくれます。


    人はふとしたときに、怪しいメールのリンクを開いてしまうことがどうしてもあるので、セキュリティソフトを導入すると安心できるでしょう。


    導入する際の注意点は、導入が簡単なことや誰でも操作できるユーザーインターフェースかの確認が必要です。ITの専門知識がない担当者でも使えるセキュリティソフトを導入しましょう。

     

     

    まとめ

    クラウドサービスにおける情報漏洩について、原因や対策、実際に発生した事例について解説しました。


    これからクラウドサービスの導入を考えている方は、どの業務において、どのデータをクラウド化するのかを検討しましょう。既に導入している場合は、現状の対策に抜け漏れや脆弱性がないかを再確認してみてください。


    社内に情報システム部門がない場合は、最新マルウェアなどのウイルスから社内情報を防御してくれるセキュリティソフトを導入してみてはいかがでしょうか。その中でも簡単に導入できて、誰でも使いやすいようなユーザインターフェースのソフトがおすすめです。