クラウド情報のデータ漏えいはなぜ起きる?トラブルの事例とクラウドのセキュリティ対策について解説
昨今の「働き方改革」により、ビジネススタイル変革の1つとして注目されているのがクラウドサービスです。クラウドサービスは導入のハードルが低く、コストも抑えられることから多くの企業が導入を進めています。
しかし、情報漏えいのリスクについて検討されないまま導入したことにより、トラブルが発生するケースも少なくありません。本記事ではクラウド情報のデータ漏えいが発生する理由や事例、クラウドセキュリティ対策について解説します。
クラウド情報のデータ漏えいが起きる理由とは?
クラウド情報のデータ漏えいは、その原因がいくつかの要素に分類できます。具体的には、「システム障害」「サイバー攻撃」「不正ログイン」「人的ミスによる設定不備」の4つです。これらクラウド情報のデータ漏えいが起きる4つの原因について、それぞれ詳しく解説します。クラウドサービスを導入する際はデータ漏洩の発生リスクを事前に知ることで、未然に防げるようにしましょう。
サーバやデータセンター内に発生した障害によるデータ喪失
クラウド事業者のサーバやデータセンター内で発生したシステム障害の影響で、データが消失してしまうケースがあります。障害によるデータ消失は「システム障害」と「システムを支えるハードの故障」が考えられ、大企業で優秀なシステムエンジニアが在籍していたとしても、システム障害を0件に抑えることは難しいのです。そのため、クラウドサービスを利用する際はクラウド事業者側のシステム障害に備えて、データをバックアップするなどの対策が必要となります。
サイバー攻撃による第三者への情報漏えい
サイバー攻撃により、気付かないうちに情報漏えいしてしまうケースがあります。データ漏えいに関連するサイバー攻撃の種類は、「特定のターゲットを狙った攻撃」と「OS・Webサイトの脆弱性を狙った攻撃」です。
「特定のターゲットを狙った攻撃」は、PCをウイルスに感染させて組織内の情報を窃取することで、メール添付ファイルや不正ログインに起因します。これに対して「OS・Webサイトの脆弱性を狙った攻撃」は、Webサイトを通じてSQLの使用やWebサーバへのリクエストに対して不正に命令文を仕込み、実行させるなど攻撃の種類はさまざまです。サイバー攻撃に備え、専門家に相談して対策することが大切でしょう。
ユーザーカウント情報漏えいによる不正ログイン
ユーザーのIDやパスワードが使いまわされている場合、フィッシング詐欺によりアカウント情報が漏えいし、不正ログインされてしまうケースがあります。不正ログインにより、ユーザーのクレジットカード情報や住所などの個人情報が閲覧できてしまうのです。ユーザーカウント情報が一度外部に流出してしまうと、データの削除や回収はほぼ不可能と言えるでしょう。そのため、不正ログインを未然に防げるよう最新のセキュリティソフトを使用したり、専門家に相談したりすることが大切です。
クラウド上の設定不備による機密情報の意図しない公開
オンプレミスからクラウド環境にデータ移行した際、設定不備に起因した情報漏えいが発生するケースもあります。オンプレミス環境は自社の内部環境であり、独自の設定によって機密情報のアクセスを管理できていました。しかし、クラウド環境はそもそも社外環境です。設定によってはインターネットを通じて、誰でも機密情報を閲覧できてしまう可能性があります。
例えば、顧客情報が記載してあるファイルをクラウド上で管理していたとしましょう。担当者の誤りで「公開」とした場合、インターネットを介して全世界の人が閲覧できる状態になってしまう恐れがあります。そのため、人的ミスによるクラウド設定不備をなくすことが必要です。
クラウド上で発生した情報漏えいの事例
実際に、クラウド上で発生した情報漏えいの事例をご紹介します。クラウド環境に対して適切なリスク対策を取らない場合、どのような事態を及ぼすかを具体例から学んでいきましょう。
- 三菱電機の不正アクセス事件
- 原因:Office 365(Microsoft 365)への不正ログイン
2021年3月、三菱電機が2020年11月に受けたサイバー攻撃について調査結果を公表しました。
攻撃者は中国にある三菱電機の子会社を経由して日本にある本社へ不正アクセスし、社員のアカウント情報を窃取。その情報を利用してOffice 365に不正ログインしていました。
三菱電機では、Office 365の利用にあたって、独自の認証システムを導入した二段階認証を取り入れていましたが、攻撃者は電子認証情報も入手して管理者ユーザーになりすましていたといいます。
現在わかっているだけでも、約9,700件の取引先情報や個人情報などが流出したとされています。
株式会社インターナショナルシステムリサーチ代表取締役 メンデス・ラウル氏によると
「三菱電機は、コロナ禍による在宅勤務導入後、当初はVPN経由で社内ネットワークに入り、Office 365にアクセスしていたが、外部からのアクセス集中によりVPNサーバーが容量オーバーとなり、『ログイン待ち』が発生してしまったという。
これを回避するため、一般的なアクセスについては、一度認証を受ければ、VPNを経由せずにOffice 365に直接アクセスできるように認証方法を変更したことで、外部からのアクセスに対するセキュリティが弱くなっていたことに加え、二段階認証も突破されたことが、今回の事件における問題点といえる」と解説をしています。
参考:https://cloud.watch.impress.co.jp/docs/news/1320092.html
クラウドサービスにおける責任分岐点
続いて、クラウドを導入する際に注意しなければならない責任分岐点について解説しましょう。クラウドサービスにはクラウド事業者とユーザーが存在し、有事の際はどちらかに責任問題が発生します。クラウドの種類によってはユーザー側にも責任問題が発生するので、クラウド導入前に確認が必要です。クラウドサービスにおいて、クラウド事業者とユーザーにどのような責任が発生するのかを確認しておいてください。
責任分岐点とは
「責任分岐点」とは、クラウド事業者とユーザーがクラウド基盤に対して、それぞれの責任の担当範囲を定めた分岐点のことです。クラウドサービスは「IaaS」「PaaS」「SaaS」の3つに分類できます。それぞれクラウド事業者とユーザーの責任範囲が異なり、クラウド導入前に確認が必要です。確認不足により取り返しのつかないことになる可能性もあるので、しっかりチェックしていきましょう。
IaaSの責任分岐点
IaaSはメモリやCPU、ストレージなど、開発に必要なインフラを仮想環境で使えるサービスです。例えばOSやソフトウェアの開発は自社で行いたいけれど、開発に必要なインフラ関連のコストは抑えたいといった場合に最適でしょう。ユーザーにはOSやアプリケーションに起因した障害対応やミドルウェアに対するパッチ対応、脆弱性対応においての責任が生じます。
PaaSの責任分岐点
PaaSはアプリケーション開発に必要なインフラに加えて、OSやミドルウェアをクラウド事業者が提供するサービスです。本来アプリケーション開発に必要なプラットフォームがPaaSにより揃っているため、開発に注力できると同時にプラットフォーム構築コストも抑えられます。なお、ユーザーにはデータやアプリケーションに対する権限や責任が生じます。
PaaSを導入する際の注意点として、クラウド事業者から提供されるファイアウォールやバックアップなどのセキュリティ機能を正しく理解することが必要です。セキュリティ機能の設定はクラウド事業者ですが、アクセス権限などの設定はユーザー側で実施します。設定ミスに起因し、情報漏えいに繋がるリスクがあるため注意してください。
SaaSの責任分岐点
SaaSは、クラウド事業者が提供するソフトウェアをインターネット経由で使用するサービスです。身近な例では、「Gmail」や「Salesforce」が該当します。
ユーザーには、データの管理における権限と責任が生じます。データ管理とは、ユーザーID管理やデータに対する編集、追加、削除などのことです。加えて、アカウント管理権限をクラウド事業者から付与され、外部からのアクセス権限も管理する場合もあります。
クラウド上の情報漏えいに備えたセキュリティ対策
クラウドサービスは、いつ障害が起きるか予測できません。アプリケーションの障害だけでなく、機器自体の故障に起因した情報漏えいのリスクもあります。そのため、事前に情報漏えいに備えたセキュリティ対策が必要です。ここからは、クラウド上の情報漏えいに備えたセキュリティ対策について解説します。情報漏えいが発生しないよう、1つずつ確認していきましょう。
データ喪失に備えてバックアップを分散させる
昨今はデータ喪失するリスクが多様化しています。サイバー攻撃の1つであるマルウェア、地震などの自然災害によるサーバダウンなど、さまざまなリスクが考えられるでしょう。もしデータを保管している場所が1つの場合、保管しているサーバの障害やハードの故障が起きてしまうとデータを喪失してしまう可能性があります。バックアップ先を複数用意して分散させることで、有事の際にデータ喪失を防ぐことが可能です。リスクを減らす観点では、データの暗号化も大切になります。
OSやアプリの脆弱性を放置しない
OSやアプリの脆弱性とは、ソフトウェアに潜んでいるセキュリティ面の欠陥や問題のことです。マルウェアなどのサイバー攻撃は、欠陥や問題という弱みを見つけて攻撃してきます。脆弱性に起因した情報漏えいを防ぐには、OSやアプリケーションの最新化を必ず行いましょう。また、定期的にセキュリティーベンダーに脆弱性診断を依頼することで問題を発見し、修正することで情報漏えいを防げます。現状で脆弱性を発見している場合は、放置しないことが大切です。
適切なクラウド事業者の選定
クラウドサービス事業者には大手から中小企業まで、さまざまな企業があります。クラウド事業者の中でも財務状況や現在までの実績、セキュリティ面の信頼性など、事業者によって差があるものです。どの業務に対してクラウドサービスを導入し、どの情報を扱うかによって選定すべきクラウドサービス事業者が変わってきます。クラウドサービスを導入する業務に対して情報を明確化することにより、最適なクラウド事業者を選定できるでしょう。
クラウド設定の最適化
クラウドサービスは導入が簡単なため、多くの企業が導入を進めています。その分だけ利用者が増え、ヒューマンエラーによる設定ミスも増加していることでしょう。設定ミスがあれば社内データを誰でも参照できてしまい、情報漏えいに繋がるリスクがあります。ミスを防ぐためには、クラウド事業者と設定に関連するコミュニケーションをとることが大切です。クラウド事業者のサービスで過去に起きた設定ミス、あるいは、よくある問い合わせなどを事前に確認して設定を最適化しましょう。
CSPMによるクラウドの情報漏えい対策
OSやアプリケーションの脆弱性は、定期的な脆弱性診断などで事前に防ぐことができます。しかし、ヒューマンエラーによる設定ミスなどは、利用者が多くなるほど管理・監視することが難しいでしょう。そこで、このようなクラウドサービスの設定ミスに対して有効な手段として注目されているのが、「CSPM(Cloud Security Posture Management :クラウドセキュリティ態勢管理)」です。
CSPMとは?
CSPMは「IaaS」「PaaS」といったクラウドサービスに対し、設定ミスなどのチェックを実施してくれます。具体的には、クラウドの設定に対し、設定したチェックルールと比較して現状の設定と差分はないか、各種ガイドライン等への違反が無いかを自動的に確認することが可能です。
CSPMは「IaaS」「PaaS」を利用する際に発生する問題や課題をあらかじめチェックルールとして用意してあり、利用者にとってより安全な利用方法を示してくれます。ここからは、CSPM導入による情報漏えい対策の有効性が期待できる3つの特徴について解説します。
◎チェックルールによる設定ミス検知
クラウド設定のチェックルールは、製品ベンダーによりあらかじめ用意されています。また、定期的にチェックルールの見直しと改善が行われていることから、常に最新チェックルールにて確認を行えるでしょう。最新のチェックルールを用いて利用しているクラウド設定の確認を自動で行うことにより、設定ミスの削減に有効と言えます。
◎カスタマイズ機能
あらかじめ用意されたチェックルールがあると解説しました。企業によっては独自のルールがあり、既存のチェックルールから溢れてしまう設定もあることでしょう。CSPMであれば独自のチェックルールをカスタマイズ機能により追加し、より自社に適したチェックルールを作成することができます。
◎アラート機能
CSPMは設定したチェックルールに対する違反を検知した場合、アラート通知する機能が実装されています。アラート機能により、設定したルールに対して実際の設定が異なっている場合、相違箇所を特定する時間を短縮できます。もし重大な設定ミスであれば、影響を最小限に抑えることが可能です。
まとめ
クラウドデータの情報漏えいについて、原因からセキュリティ対策、情報漏えいに有効なソリューションについて解説しました。これからクラウドを導入する場合は、まず自社のどの業務に対してクラウド化するか、具体的に整理・検討するところから始めましょう。また、すでにクラウドを導入している場合は、本当に現状の体制で問題ないか再度確認することが大切です。クラウド導入時はトラブルに備え、事前に対策を講じておいてください。
[筆者プロフィール]
やまだ
平日は大手Slerでシステムエンジニアとして勤務。主なクライアントは生命保険会社で、ワークフローシステムが専門。最近は営業としても活動し、クラウドなどの最新技術についても取り扱っています。休日はWebライターとして活動。本業での経験や知識を活かしたライティングを中心に行っています。
