クラウドの情報漏洩の事例からリスクを知る|責任範囲と対策も解説
クラウドサービスの利用が一般的になってきた中、企業の情報漏洩事故が多発しています。
クラウドならではのリスクを見逃し、大きな損失を被らないよう、この記事では実際の事例とリスク、対策について紹介します。
目次
クラウドの情報漏洩リスクと実際の事例
昨今、DXの波を受けてクラウドの利用は当たり前になりつつあります。
ガートナージャパンによると、クラウド利用状況は年々右肩上がりに伸びてきており、特にSaaSの利用は2020年から2021年で8ポイントも増加しています。
参考:https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20210614
一方で、クラウドはデータがクラウドサービス事業者側のサーバーに保管されるため、第三者の不正アクセス・データの流出/損失などのリスクも存在します。
クラウドのセキュリティインシデントの内訳と実際の事例
2020年度のLACのレポートによると、クラウドのインシデントの内訳は下記のようになっています。
一番多いのはマルウェア(52%)、続いてサーバー不正侵入(23%)、内部犯行(7%)という結果になっています。
参考:https://www.lac.co.jp/lacwatch/report/20210205_002430.html
実際、2020年〜2021年にかけてクラウド利用で情報漏洩してしまったニュースを見かけた方も多いのではないでしょうか?
セールスフォース・ドットコムの設定不備による情報漏洩(2020年12月~2021年2月)楽天やpaypay、イオンにおいて、セールスフォース製品の設定不備が原因で顧客情報が流出しました。
セールスフォース側は、プラットフォームの脆弱性によるものではなく、サービス利用側のアクセス制御の権限設定が適切に行われていないことが要因だと主張しています。
参考:https://xtech.nikkei.com/atcl/nxt/news/18/09564/?i_cid=nbpnxt_sied_blogcard
クラウドサービスの情報漏洩はだれの責任?
上記のような事例の場合、責任の所在はどこにあるのでしょうか?
クラウドサ―ビスは種類によって、ユーザーとベンダーのそれぞれがクラウドのどこからどこまでに責任を持つのかが決められています。(責任分界点)
そのため、問題が起こった箇所によって責任の所在は分かれるのです。
【クラウドサービスの種類】
SaaS 事業者が提供するソフトウェアをインターネット経由で使う仕組み 例:Gmail、Dropboxなど PaaS アプリケーションや情報システムの開発・実行に必要なOSやミドルウェアなどのプラットフォームを事業者が提供する 例:Microsoft Azure、AWSなど IaaS IaaSはCPUやメモリ、ストレージなど開発に必要なインフラを仮想環境で会う使える 例:Google Compute Engine、Amazon Elastic Compute Cloudなどユーザー側の責任範囲
| 設定・データ | アプリケーション | OS・ネットワーク | インフラ | |
|---|---|---|---|---|
| SaaS | 〇 | – | – | – |
| PaaS | 〇 | 〇 | – | – |
| IaaS | 〇 | 〇 | 〇 | – |
SaaSは用意されたアプリケーションを利用するだけのため、アプリケーション上での設定や発生したデータのみに責任を負うことになります。
PaaSはSaaSの責任範囲に加えて、ユーザー自身で開発するアプリケーションも管理をする必要があります。
さらにIaaSはさらにOSやミドルウェアまで管理範囲が広がります。
セールスフォースの事例の場合、アプリケーションの設定はあくまで利用企業としていたため、情報が漏洩してしまった要因は利用企業側になるのです。
多くは利用企業側の責任のことが多い
理論上はベンダー側と利用者側の両者で責任範囲が分かれているが、これまで起こったトラブルの多くは利用社側に問題があることが多いこともわかっています。
2020年に公開されたIBMの調査では、2019年に記録された85億件の情報漏洩のうち85%以上はクラウドサーバー設定ミスや、他システムの誤った設定によるものでした。
企業側が対策を講じない限り、被害は拡大し続けてしまうことになります。
クラウドの情報漏洩を防ぐ対策
こうした状況の中でクラウドを利用する企業が情報漏洩を防ぎ、上手に活用するための方法を説明します。
- ユーザーとベンダーの責任分界点を把握する
- 通信データの暗号化
- ID・パスワードの管理
- 権限の制限
ユーザーとベンダーの責任分界点を把握する
上記で説明したような責任分界点は、利用するベンダーによって多少異なります。
「どこまでがユーザー側の責任なのか」を丁寧に説明してくれるベンダーばかりではないため、責任分界点がどこにあるのかは、利用企業がしっかり把握をしておかなければなりません。
そしてそのポイントを理解したうえで、責任範囲についてはルールを設けて運営をして行く必要があります。
通信データの暗号化
第三者からの盗聴リスクを減らすために、通信データを暗号化し、内容を読めなくする必要があります。
SSL対応など基本的な対応はもちろん、遠隔地との通信データを暗号化する SSHなど、より高度な暗号化の仕組みを作っておきましょう。
ID・パスワードの管理
パスワードが流出してしまえば、以下に厳格な対策をとっていたとしても不正アクセスを簡単に許してしまいます。
そのためワンタイムパスワードを設定する、定期的にパスワードの変更(更新)するなど、有効な対策を打たなければなりません。
アカウント管理のセキュリティレベルをさらに上げるのであれば、IDaaSの利用もおすすめです。
権限の制限
ユーザーやクラウドアカウントへの権限を最小限にとどめ、意図しない情報公開を避けるようにしましょう。
SAASCOREならSaaSのセキュリティ対策ができる!
ここまでクラウドのセキュリティ対策をご紹介してきましたが、全てを管理するのは工数もかかってしまいます。
そこでおすすめしたいのがSAASCORE。
SAASCOREはセキュリティに抵触するようなアクションをした際にアラートをしてくれる機能があり、監視体制を築くことができます。