セキュリティの
学び場

今回の解説ニュース

メールの誤送信とクラウドの設定ミスが同時に発生したことで、個人情報が漏洩してしまったということです。クラウドの設定ミスが発生する原因と対策について説明します。

今回のインシデントは、セキュリティが確保されていないクラウドサービスにアクセス可能なURLが記載されたメールを1名に対して送ってしまったことで発生しています。クラウドサービスには1106名分の個人情報が保存されていたということです。

また、委託事業の仕様書では、クラウドサービスで個人情報を管理することを禁止していたようで、厚生労働省は、当該受託者に対して個人情報の適切な取り扱いと再発防止の徹底を図るよう注意指導するとともに、情報セキュリティに関する監査を実施するということです。

委託先企業のセキュリティ違反を未然に防ぐには

委託先の企業がセキュリティ上の違反をしていないかどうかについて、国際規格のISO27001では、情報にアクセスする委託先の管理を徹底するよう定められています。その内容について説明します。

ISO27001とは、情報セキュリティマネジメントシステムであるISMSに関する国際規格です。組織が保護すべき情報資産を洗い出し、セキュリティの3要素である機密性、完全性、可用性の3つをバランスよく管理することが求められています。

ISO27001の管理策に「供給者管理」が定められています。今回の場合、供給者は厚生労働省が事業を委託した企業と、結果的には、その委託先が個人情報を保存していたクラウド事業者も含まれます。

また、ISO27001では、供給者と情報へのアクセスや守秘義務に関して合意した内容を文書化しているかであったり、供給者のサービスが変更された時など、必要に応じて監査を行い、その結果をセキュリティ担当組織へ報告しているかであったり、総じて委託先のセキュリティ管理を徹底するように定められています。

今回の場合ですと、委託先に対して情報へのアクセスに関して仕様書では合意していたものの、実態としては異なる運用がなされていたということなり、厚生労働省の確認方法に不備があったことが考えられます。このように、委託先で発生するセキュリティリスクは「サプライチェーンリスク」と呼ばれており、対策が困難な問題の一つと言われています。

クラウド利用の便利さをより活かす為の対策

クラウドの設定不備を確認する方法として、クラウド事業者などが提供するセキュリティガイドを活用する方法があります。また、AWSやAzureなどの設定不備を監視する仕組みとして「CSPM」があります。

事業者、利用者それぞれに責任を持つ「責任共有モデル」

前提として、クラウドサービスにはクラウド事業者と利用者がそれぞれ責任を持つ「責任共有モデル」という考え方があります。クラウドサービスによって利用者がセキュリティを担保しなければならない範囲があるということです。そこで、利用者が気を付けなければならないセキュリティの設定がまとめられたセキュリティガイドがクラウド事業者から提供されている場合があります

セキュリティガイドを活用する

クラウドサービスによっては、第三者が発行しているセキュリティガイドであるCISベンチマークが対応している場合があります。これらのセキュリティガイドを活用することで、クラウドサービスを安全に利用することが可能です。ただし、セキュリティガイドを活用するためには、技術的な知識を持ってガイドを読み解いていく必要がありますので、対応が難しい場合は専門家の支援を受けることも検討しましょう。

クラウドサービス全体の設定不備を監視する方法「CSPM」の導入

また、AWSやAzureなど、クラウドサービス全体の設定不備を監視する方法として、CSPMを導入する選択肢が考えられます。CSPMとは、Cloud Security Posture Managementの略で、主にクラウドサービスの設定ミスを管理する仕組みです。日々変化するクラウド環境のセキュリティ設定を監視する仕組みとして、様々なクラウドサービスに対応したCSPMが提供されています。

クラウドサービスは簡単に使い始められる一方で、セキュリティの設定不備が発生しやすいことも事実です。今回の委託事業でも、そのセキュリティリスクを除去するために、クラウドサービスの利用を仕様書で禁止していたことが考えられますが、本来求められることは委託先も含めた「全員参加のセキュリティ」です。サプライチェーンリスクが顕在化しないよう、我々もセキュリティベンダーとして何ができるか、全力で考えていきたいと思っています。