国立大学法人岡山大学病院は8月4日、フィッシング詐欺による患者情報漏えいについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】個人情報を保存していたクラウドサービスのアカウントが乗っ取られてしまい、アクセスできなくなってしまったということです。個人端末やクラウドサービスが業務利用される場合に、組織が気を付けるべきポイントについて説明します。
今回のインシデントは、病院の医師が患者情報を個人が契約するクラウドサービスへ保存していたところ、そのアカウントがフィッシング詐欺の被害にあってしまい、攻撃者が保存されたデータを閲覧可能な状態になってしまったということです。医療システムへの不正アクセスは確認されていないものの、警察や関係各所に協力を仰ぎながら、引き続き問題解決にあたっているということです。
病院側は再発防止策として、個人情報の取り扱いについて指導を徹底するとともに、定期的に個人情報の保有状況を調査することで、各職員のセキュリティ意識を向上させるということです
今回のインシデントには大きく3つの課題があります。それは「個人契約のクラウドサービスを業務利用していたこと」と「アカウントがフィッシング詐欺にあったこと」と「組織の規約に違反していたこと」です。フィッシング詐欺と規約違反については一般的なセキュリティ対策となりますので、今回は個人契約のクラウドサービスを業務利用していたことの対策について説明します。
個人契約のクラウドサービスを業務利用していたことについて、具体的なデータの持ち出し経路は不明ですが、一般的にはネットワークやUSBメモリなどを経由して個人契約のクラウドサービスへコピーされていたことが考えられます。
ネットワーク経由でデータが持ち出されていた場合、外部ネットワークへの通信が適切に制限されていることが必要です。具体的には、VPNやCASBなどで制限することが可能です。CASBとは、Cloud Access Security Brokerの略で、クラウドサービスにおけるセキュリティの考え方です。クラウドサービスの利用状況を可視化して、利用できるクラウドサービスを組織側で制御し、個人契約のクラウドサービスが許可なく業務利用されることを制限します。パソコン自体が持ち出し可能であった場合も、CASBの利用をシステム側で強制することによってデータの持ち出しを防ぐことが期待できます。
また、USBメモリなどを経由してデータが持ち出されていた場合、パソコンのUSB利用を制限することが必要です。OSの設定やエンドポイントに導入されるセキュリティ製品でUSB利用を制限できる場合があります。USBメモリは利用するのがお手軽なうえに紛失のリスクも高いので、代替案を用意したうえで適切に制限することをお勧めします。
今回のインシデントはシャドーITの問題が大きいと考えられます。今回のインシデントにあてはめながら説明します。
シャドーITとは、組織が許可していないパソコンやスマートフォンなどのデバイスや、メールやストレージなどのクラウドサービスを個人で契約して業務利用することです。組織で管理するIT資産と比較してセキュリティ対策が十分でない可能性が高く、結果としてインシデントの原因となっています。今回はセキュリティ対策が十分ではない個人アカウントのクラウドサービスがフィッシング詐欺にあったことが原因の一つになっているため、まさにシャドーITのリスクに該当すると考えられます。
ただし、個人情報を持ち出してしまった本人は、自宅でも仕事をするなどの目的で、悪意なく個人で契約したクラウドサービスを利用していたことも考えられます。組織としては適切なセキュリティ対策をすることで、今回のような不幸な従業員を生まない仕組みを整備していただきたいですね。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
