企業や個人事業主は情報管理のために多くのIT技術やツール、特にクラウドを利用しています。クラウドは一括管理が可能など多くの利点がありますが、情報漏洩という重大なリスクにも注意が必要です。情報管理は企業だけでなく、個人にとっても大事な分野になります。
本記事では、クラウド環境における情報漏洩の主な原因と、それを防ぐための効果的な対策を詳しく解説します。
クラウドの情報漏洩の原因
クラウドは場所を問わずアクセス可能ですが、それに伴う情報漏洩のリスクも存在します。どのような原因で情報漏洩が起こるのか、主に考えられる3つの点を解説します。
人によるクラウドの設定ミス
クラウドでは、利用者の設定ミスやヒューマンエラーによって情報漏洩が起こる可能性があります。多くのクラウドサービスでは、アクセス権限の設定ができます。クラウドにアクセスできる人を制限しても、操作ミスにより情報が外部に誤公開されることがあります。また、退職者が引き続きファイルにアクセス可能な状態にしておくと、機密情報含めて社外の人に伝わることとなります。このようなヒューマンエラーは、大きな情報漏洩事故につながるため、慎重な設定と確認が必要です。
名前や電話番号など個人情報が流出すると企業側の大きな責任になり、後々損害賠償などの対象になることもあります。そのため、設定時の管理体制を複数人配置する、定期的に見直しを行う、利用者に対してクラウドの使い方を指導するなどの対策が必要です。
セキュリティに対しての意識不足
セキュリティ意識の低さが情報漏洩の原因になることがあります。例えば、クラウドにアクセスするときのユーザーIDやパスワードを付箋にメモしてディスプレイに貼ったり、推測しやすい安易なパスワードを設定したり、他のサイトと同じパスワードを使いまわしたりすると不正アクセスの原因になります。
また不審なメールのURLをクリックし、フィッシング詐欺などによってアカウント情報が漏洩して、不正ログインされる可能性があります。たとえセキュリティソフトをインストールしていても、それが最新でなければ新しい型のサイバー攻撃に対応できない可能性があり、外部から侵入して顧客や社員の情報などが盗まれるケースも十分考えられます。
このような意識の甘さが情報漏洩に繋がるため、いつ情報漏洩してもおかしくない状態になります。セキュリティのしっかりしたクラウドを使用したり、自社で対応できない場合は専門家に依頼したりするなどして、セキュリティを強化しておくようにしましょう。
システム不具合
クラウドサービス提供者のシステム不具合で情報漏洩を引き起こすことがあります。クラウドデータは、クラウドサービス提供者のサーバーやデータセンターにも保存されています。
そのためクラウドサービス提供者のシステム不具合で、顧客情報が漏洩し、問題が発生することがあります。
セキュリティ認証取得企業や上場企業など信頼できるクラウドサービス提供者を選択しましょう。
クラウドの情報漏洩のニュースや事件
クラウドの情報漏洩が発生すると、企業は対応に追われ、損害賠償が発生する場合もあります。ここでは、実際に起きたクラウドの情報漏洩事件を2つ紹介します。
事例①株式会社KADOKAWAの情報漏洩事件
株式会社KADOKAWAはランサムウェア攻撃を受け、大規模なサーバー障害が発生しました。この結果、25万以上の個人情報を含む、多数の内部および外部情報が漏洩しました。
原因を解明した結果、フィッシングにより従業員の情報が盗まれプライベートクラウドに不正侵入されたことが原因とされています。個人情報では氏名や生年月日、住所など、社員情報や一部の契約者などが漏洩したため、企業側の被害も大きいと言えます。
事例②東急リバブル株式会社の情報漏洩事件
東急リバブル株式会社では、不動産登記簿に記載された情報をデータ化した社内資料が社外に持ち出されたことで、情報漏洩が起こりました。原因は会社を退職する従業員が他社へ転職するときに、不正に持ち出した情報の一部をダイレクトメールなどで送付したことです。
個人データには、一部マンションの不動産登記簿に記載されている所有者の名前や住所、マンション名、部屋番号などがあり、合計2万5,000人以上の情報が流出しました。発覚後は、事実確認の調査を行い、国土交通省の個人情報保護委員会届出窓口への報告、そして刑事告訴を視野に入れた管轄警察署への相談も行っています。
また、二次被害の有無についても調査を行い対応しています。
クラウドの情報漏洩の責任は?
クラウド情報の漏洩時、責任の所在が重要な問題となります。多くのクラウドサービスで、トラブル発生時の責任を利用企業とクラウド提供者で分担する「責任共有モデル」を取り入れています。そして、責任の範囲を示す「責任分界点」があります。責任分界点とは、クラウドサービス提供者と利用者間の責任を明確に区分する基準です。
次に、SaaS、PaaS、IaaSの責任分界点について解説します。
SaaSの場合
SaaSはインターネットを通じて提供されるソフトウェア利用の形態で、メールやクラウドストレージ、CRM(顧客管理)システムなどが例として挙げられます。サービス提供者はアプリケーションやOSの運用を含む管理を行いますが、すべてをサービス提供者に頼るわけではありません。
利用する企業には、ユーザーIDの管理やデータの保護といった責任が課されます。さらに、ソフトウェアの利用権限を設定するなど、アプリケーションの運用に関しても一部負担することが求められる場合があります。
従業員が安易なパスワードを使用した、他のサイトと同じパスワードを使いまわした、退職時にアクセス権を削除しなかった等は利用者側の問題になります。
PaaSの場合
PaaSは、アプリケーション開発や情報システムの運用に必要なプラットフォーム(OSやミドルウェアなど)を提供するサービスです。これらの技術は事業者によって管理されており、データやアプリケーション自体の管理は利用する企業の責任です。
PaaSを利用する際には、提供されるセキュリティ機能(バックアップ、データの暗号化、ファイアウォールなど)を正確に理解し、適切に設定することが重要です。これにより、サービスを安全に利用するための準備が整います。
IaaSの場合
IaaSは、開発に必要なCPUやメモリ、ストレージなどのインフラストラクチャを仮想環境で提供するサービスです。この仮想環境とハードウェアの管理は、サービス提供者が負担しますが、仮想環境で稼働するOSを含む全ソフトウェアの管理は利用する企業が担当します。
Amazon AWS, Microsoft Azure, Google Cloud Platformなどの仮想マシンの上でサーバーを構築するオンプレミスシステムなどはこれにあたります。
その結果、アプリケーションの障害対応や、OSとミドルウェアのパッチ適用、脆弱性対策などは利用企業の責任範囲となります。これにより、サービスの適切な運用とセキュリティ維持が求められます。
クラウドの情報漏洩を防ぐ対策
クラウドを利用する企業は、複数のセキュリティ対策を適切に施すことが重要です。以下の対策について内容を解説します。
アクセスを制限する
クラウド内のフォルダやファイルへのアクセス権を厳格に管理し、誤操作や不正利用による情報漏洩を防ぐことが必要です。自由に閲覧可能な状態だと、従業員によるデータの不正持ち出しや設定の変更が起きやすく、ヒューマンエラーが増加します。
アクセス制限により、データ漏洩の原因を特定しやすくなり、迅速な対応が可能です。
端末認証や接続元IP制限を活用する
クラウドの情報漏洩の対策では、端末認証と接続元IP制限を活用し、セキュリティを強化することをおすすめします。端末認証機能を用いることで、承認されていない端末からのアクセスを防ぎ、外部からの不正アクセスを阻止します。
端末認証を社用端末に設定することで、セキュリティが強化されます。
接続元IP制限機能は、アクセスできるIPアドレスを限定的に設定できます。例えば、社内のIPのみに制限して設定しておくと、従業員の自宅やカフェなど、他の場所からはログインできず、情報流出を防ぎやすくなります。この場合は、会社のインターネット回線を固定IP接続のオプション契約を追加する必要があります。
ランサムウェア対策機能を活用する
企業は情報を保護するためにランサムウェア対策を重視すべきです。クラウドでは、端末認証や接続元IP制限を用いて、ランサムウェアの外部攻撃から守ることができます。
しかし、ランサムウェア攻撃のリスクは完全には排除できません。ランサムウェア対策として、社内ネットワークと分離した環境での定期的なバックアップを行い、万が一の攻撃時にはランサムウェア対策として、社内ネットワークとは分離した環境で毎週定期的にバックアップを取り、攻撃発生時に迅速に復旧できる体制を整えることが重要です。
またクラウドストレージであれば編集や上書き保存をしても過去のバージョンを自動的にバックアップしておいてくれるシステムもあるため、そのようなシステムを選択するとよいでしょう。
定期的な見直しを実施する
セキュリティ対策の導入後は、それらを定期的に見直すことが不可欠です。アクセス制限は特に注意が必要であり、社員の入社、部署の異動、または退職といった人事変動があるたびに、権限の調整が必要になります。
アクセス制限の見直しに際しては、複数のチェックポイントを設けるようにしてください。たとえば、IT部門と人事部門が協力して、権限変更が適切に行われているかをダブルチェックする体制を築くことが効果的です。
3ヶ月に1度権限の棚卸しをするというフローおよびルールを作っておくとよいでしょう。
セキュリティポリシーを策定する
企業が情報漏洩を防ぐためには、セキュリティポリシーの策定も必要です。セキュリティポリシーには、データ保護、アクセス管理、物理的セキュリティ、通信の安全など、広範囲にカバーできる規則が含まれます。
セキュリティ規制を明確に策定することで、従業員のセキュリティ意識が向上します。データ保護規則やアクセス権限の管理に関する具体的なセキュリティポリシーを策定し、これを社内で周知徹底することが情報漏洩リスクを低減します。
入社時および1年に1回などセキュリティ教育および試験をすることで従業員に周知するとよいでしょう。
クラウドの情報漏洩を防ぎたいならibisStorage
クラウドは企業にとってデータ管理をする点で重要なツールです。そのため、クラウドストレージサービスを利用する場合は、情報漏洩のリスクを軽減するために「ibisStorage(アイビスストレージ)」がおすすめです。ibisStorageには、次のようなセキュリティ機能があります。
- 端末認証機能
- 接続元IP制限機能
- ランサムウェア対策機能
- アクセス権限管理機能
- アクセス権限管理グループ化機能
- 監査ログ機能
- アクセス権の引き継ぎ機能
- 個人フォルダの引き継ぎ機能
- データ保護機能
「ibisStorage」なら、セキュリティ対策をしっかり行いつつ、会社の機密情報を守り、安心安全に利用することができます。ほかにも、ファイル更新履歴からいつでもファイルを復元できるなど、いろいろなデータを保護してくれるため、一度検討してみてください。
