株式会社静岡銀行は4月22日、社外クラウドサービスの設定不備により顧客の個人情報が第三者からの閲覧が判明したと発表した。 (記事はこちら)
コロナ陽性者のリストが人為的なミスで漏洩してしまったということです。今の社会情勢では極めてセンシティブなデータということもありますが、クラウド上からの情報漏洩ということで、何が問題であったかについて説明します。記事には
「患者情報等が含まれるファイルが入ったフォルダのアクセス権が付与されたメールを送信した際に、本来送付すべきアドレスと酷似していた男性のアドレス宛に誤送信したというもの。」
とあります。情報漏洩のきっかけとしてはメールの誤送信ということで、最も発生しやすいセキュリティインシデントの一つです。しかし、被害はさらに拡大してしまったようで、記事には
「即日、当該ファイルが含まれるフォルダに対し当該男性のアクセス制限対応を実施したが、個別のファイルへのアクセス制限がなされなかったため、ファイルのURLに直接アクセスすれば利用可能な状態が継続」
とあります。要約すると、ファイルのURLを知っているユーザであれば、誰でもファイルへアクセスができる状態であった、ということです。つまり、今回のセキュリティインシデントは複数の問題が原因で発生しており、1つはファイルのURLがメールの誤送信により漏洩してしまったこと、もう1つはクラウド上のファイルに対する共有の設定が間違っていたこと、の2点があげられます。
クラウド上でのセキュリティ対策のポイントとしては、まずは何よりクラウドの設定自体を正しく行うことが必要です。設定の修正自体には、追加のコストはかかりません。
今回のセキュリティインシデントの原因として、ファイルの共有設定が間違っていたと説明しました。人は本来ミスをするものなので、メールの誤送信自体が発生することを前提に、クラウドの設定を行うべきだと考えます。具体的には、特定組織のみで共有されるファイルに対しては、ファイルのURLを知っていてもアクセスできないように制限付きのアクセス権限を設定するべきです。クラウドサービスにもよりますが、この設定は管理者側で組織全体に対して強制することも可能です。
また、今回のような極めてセンシティブな内容のデータを取り扱う場合に、クラウドの利用自体が適切であったかという議論もあろうかと思いますが、誤解なきように補足しますと、クラウドの利用自体が危険というわけではありません。クラウドは正しく設定できれば便利なサービスですし、特にコロナ禍で在宅勤務が進む中では、必要不可欠なものと言っても過言ではありません。クラウドが正しく設定されているかの確認は、CSPMやクラウドに特化した脆弱性診断が有効です。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ