セキュリティの
学び場

今回の解説ニュース

誤送信や設定不備が原因で、個人情報が流出してしまったということです。人為的なミスによるインシデントを減らす方法について説明します。

今回のインシデントは、教員が保護者に対して講演会の案内と申し込みフォームのURLを送信したところ、回答用URLではなく編集用URLを送ってしまったことと、フォームの閲覧権限に関連する設定を間違ってしまったことの2つが原因で、申し込んだ保護者の個人情報が閲覧できる状態になってしまったということです。

対応として、個人情報が閲覧された可能性がある32名の保護者に対して電話で謝罪するとともに、全保護者に概要の説明と謝罪の文書を配布しています。また、情報流出が判明した後に個人情報を閲覧できないように設定を変更し、関係各所への報告を行ったということです。

再発防止策として、個人情報を取り扱う入力フォーム等の構築や設定作業を行う際は、運用開始前に複数人でコンプライアンス上の問題がないか確認を行うとともに、閲覧制限方法等を明記した作業記録の保管を実施するということです。

設定不備を防ぐ「セキュア・バイ・デフォルト」の考え方

デフォルトで閲覧権限をはじめとする「設定」がオープンな状態になっていることは極めて危険です。理由は、知識のないまま使い始めてしまうと、今回のようなインシデントを招いてしまうからです。それを防ぐために「セキュア・バイ・デフォルト」という考え方があります。

セキュア・バイ・デフォルトとは、初期設定値において、可能な限りセキュリティが担保された状態にするという考え方です。知識のないユーザが何も考えずにデフォルトのまま使い始めた時に、ソフトウェアが危険な状態にさらされてしまうことを防ぎます。

例えば、家にWifiルータがあるとします。もし、管理者のパスワードが設定されていない状態がデフォルトだったらどうなるでしょうか？とりあえず設置したらインターネットにつながったのでそのままにしていることがよくあると思うのですが、管理者のユーザ名はadminだったりrootだったりすることが多いので、パスワードを推測されたら知らない人に設定を変更されてしまうかもしれません。また、Wifiルータが動作不良や故障したときに、工場出荷状態へ初期化を行うことで、デフォルトの設定に戻ってしまうことも考えられます。ちゃんとセキュリティの設定をしていたとしても、何らかの理由でデフォルトに戻ってしまったときに、セキュリティが担保されていない状態になってしまうことが考えられます。

これらの問題を防ぐために、初期設定値はセキュリティが担保された状態であるべきという考え方がセキュア・バイ・デフォルトです。今回のインシデントが、申し込みフォームの初期設定値を意図的に設定を変更した上で発生しているかどうかは不明ですが、あらかじめセキュリティが担保されている設定になっていれば防ぐことができたインシデントであったかもしれません。

従業員の判断でサービスを利用するシャドーＩＴ問題

今回のようなインシデントの原因に類似する話として、シャドーITの問題があります。

組織の管理者が把握せず各々でサービスを利用

シャドーITとは、組織の管理者が把握せず、従業員の判断で使われているデバイスやサービスです。対義語であるサンクションITが知識のある管理者によって設定されていることに対して、セキュリティの設定が十分ではなくインシデントの原因になっていることが問題視されています。

「良かれ」の考え方が引き起こすインシデント

最近では、クラウドサービスのシャドーITが問題視されており、データを共有するために利用されたストレージサービスの設定不備が原因で、情報漏洩が発生してしまうインシデントが複数発生しています。また、シャドーIT対策の難しさとして、管理者の目が届かないところで使われていることや、効率化などの名目で、あくまでも善意をもって使われていることがあるため、利用者が規制に反発したり、代替案を求めたりする場合があります。

従業員によって設定できる点はシステム側の課題

今回のインシデントが発生したフォームがシャドーITであるかは不明ですが、教員によってある程度自由に設定され、その結果、危険な状態で使用されてしまったことは事実のようです。ただし、教員がITの専門家ではないことはあらかじめ想定されるため、システム側の課題と考えることが妥当です。

利用者が不安なく、いつでもセキュアな状態でシステムが使用できることが望まれますね。