株式会社琉球銀行は6月24日、「りゅうぎんWeb申込サイト」の申込情報等を管理する社外のクラウド型管理システムに対し第三者からの不正アクセスが判明したと発表した。(記事はこちら)
地方銀行が利用するクラウドサービスへ不正アクセスがあり、顧客情報が漏洩した可能性があるということです。クラウドサービスの設定不備が原因で多発しているインシデントを未然に防ぐ方法について説明します。
今回、インシデントが発生したWebサイトでは、Salesforce社のクラウドサービスが利用されていたと言われています。昨年末よりSalesforceの設定不備が原因でインシデントが多発しており、今回も同様の問題と考えられます。
不正アクセスが確認された経緯として、社外のシステム保守会社がクラウドサービスのログを調査したところ、第三者からの不正アクセスが判明し、クラウドサービスのセキュリティ設定に不備が確認されたということです。
被害を受けたWebサイトの構築にSalesforceが採用された背景について「短期間と低コスト」が挙げられています。Salesforceのクラウドサービスを活用することで、インフラやアプリケーションの構築が不要になり、短期間で構築が可能であったとされています。その一方で、細かいセキュリティ設定が見逃されてしまったようで、今回のインシデントにつながってしまったことが考えられます。今回の件に限らず、最近多発しているクラウドサービスの敷居の低さがあだとなってしまったインシデントの事例です。
今回のインシデントはクラウドサービスの中でもSaaSで発生していますので、SaaSにおけるクラウド事業者と利用者の責任共有モデルについて説明します。
クラウドサービスの責任共有モデルとは、クラウド事業者と利用者がクラウドサービスで責任を負うべき範囲を可視化したものです。誤解が生じやすいクラウドサービスの責任分界点において、すべての利害関係者が共通の認識を持つことを目的として作成されています。
例えば、AWSの責任共有モデルの説明として、AWSの責任はクラウド「の」セキュリティとしている一方で、利用者の責任はクラウド「における」セキュリティとしています。もう少しわかりやすく具体的にSaaSの例で説明すると、物理、インフラ、ネットワーク、アプリケーションの責任はクラウド事業者が責任を負う一方で、データの保護や設定回りは利用者の責任であるとされています。
今回のインシデントの場合「セキュリティ設定の不備が原因」とされていますので、利用者が責任を負う必要があります。対策としては、クラウド事業者が提供しているセキュリティガイドなどを参考に、クラウドサービスの設定回りに問題がないかWebサイトのリリース前に、自社か社外のシステム保守会社が確認する必要があります。
ちなみに、我々もセキュリティで困っているすべての組織を救いたい思いで、数か月前からSalesforce向けのセキュリティ診断を無償で提供しています。今回のインシデントも我々のメッセージが届いてさえいれば未然に防ぐことができた事例であるが故に、救えなかった現実に対して力不足を感じざるを得ません。
セキュリティの3要素のうち、機密性の高い情報については暗号化すべきです。その理由について説明します。
セキュリティリスクの分析は情報セキュリティの3要素が失われた場合に、その情報資産の所有者にとってどの程度影響があるかによって評価します。情報セキュリティの3要素とは、機密性と完全性と可用性です。暗号化することによって情報がそのままでは使えない状態となり、機密性が損なわれた場合の影響が軽減されるため、セキュリティリスクを分析した結果、機密性の高い情報は暗号化すべきと判断されます。
例えば、IDとパスワードが暗号化されずに漏洩してしまうと、そのサービスの認証が突破されたり、他のサービスへのリスト型攻撃へ悪用されたりしてしまう可能性があります。そこで、一般的にパスワードは暗号化されてデータベースに保存されており、アカウント情報に対する機密性が損なわれた場合でも、影響が軽減される対策が行われているということになります。
インシデントの未然防止が最善ではありますが、セキュリティに絶対がない現状を鑑みて、データベースを暗号化するなど、多層防御の考え方も取り入れながら、セキュリティリスクを軽減していくことが重要です。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
