セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 クラウド設定不備、静岡銀行Webサイトから申込情報が閲覧された可能性

クラウド設定不備、静岡銀行Webサイトから申込情報が閲覧された可能性

目次
  • ニュース解説「クラウド設定不備、静岡銀行Webサイトから申込情報が閲覧された可能性」
  • クラウド上でのセキュリティ対策のポイント

ニュース解説

クラウド設定不備、静岡銀行Webサイトから申込情報が閲覧された可能性

株式会社静岡銀行は4月22日、社外クラウドサービスの設定不備により顧客の個人情報が第三者からの閲覧が判明したと発表した。 (記事はこちら)

コロナ陽性者のリストが人為的なミスで漏洩してしまったということです。今の社会情勢では極めてセンシティブなデータということもありますが、クラウド上からの情報漏洩ということで、何が問題であったかについて説明します。記事には

「患者情報等が含まれるファイルが入ったフォルダのアクセス権が付与されたメールを送信した際に、本来送付すべきアドレスと酷似していた男性のアドレス宛に誤送信したというもの。」

とあります。情報漏洩のきっかけとしてはメールの誤送信ということで、最も発生しやすいセキュリティインシデントの一つです。しかし、被害はさらに拡大してしまったようで、記事には

「即日、当該ファイルが含まれるフォルダに対し当該男性のアクセス制限対応を実施したが、個別のファイルへのアクセス制限がなされなかったため、ファイルのURLに直接アクセスすれば利用可能な状態が継続」

とあります。要約すると、ファイルのURLを知っているユーザであれば、誰でもファイルへアクセスができる状態であった、ということです。つまり、今回のセキュリティインシデントは複数の問題が原因で発生しており、1つはファイルのURLがメールの誤送信により漏洩してしまったこと、もう1つはクラウド上のファイルに対する共有の設定が間違っていたこと、の2点があげられます。

クラウド上でのセキュリティ対策のポイント

クラウド上でのセキュリティ対策のポイントとしては、まずは何よりクラウドの設定自体を正しく行うことが必要です。設定の修正自体には、追加のコストはかかりません。

今回のセキュリティインシデントの原因として、ファイルの共有設定が間違っていたと説明しました。人は本来ミスをするものなので、メールの誤送信自体が発生することを前提に、クラウドの設定を行うべきだと考えます。具体的には、特定組織のみで共有されるファイルに対しては、ファイルのURLを知っていてもアクセスできないように制限付きのアクセス権限を設定するべきです。クラウドサービスにもよりますが、この設定は管理者側で組織全体に対して強制することも可能です。

また、今回のような極めてセンシティブな内容のデータを取り扱う場合に、クラウドの利用自体が適切であったかという議論もあろうかと思いますが、誤解なきように補足しますと、クラウドの利用自体が危険というわけではありません。クラウドは正しく設定できれば便利なサービスですし、特にコロナ禍で在宅勤務が進む中では、必要不可欠なものと言っても過言ではありません。クラウドが正しく設定されているかの確認は、CSPMやクラウドに特化した脆弱性診断が有効です。

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ