セキュリティの
学び場

今回の解説ニュース

クラウドへの不正アクセスで個人情報が漏洩した可能性があるということです。クラウドが不正アクセスの被害を受ける原因と、長期休暇前にクラウド環境のセキュリティで気を付けるべきポイントについて説明します。

今回のインシデントでは、部内業務で使用するクラウドサーバへの不正アクセス攻撃が判明しました。サーバの部内業務資料には、氏名、住所のほか、一部に役職名や電話番号、メールアドレス等の個人情報が含まれており、流出の可能性を否定できない状況であるということです。侵害経路等の原因について、外部の専門機関とともに調査を進めています。

対策として、個人情報保護委員会への速報と、警察への通報は完了しており、対象の顧客には順次郵送で連絡を行うということです。

クラウドサーバへの不正アクセスでよく見られる原因

クラウドサーバへの不正アクセスでよく見られる原因の一つとして、「クラウド移行時にセキュリティの前提が見直されないまま、ユーザ認証やアクセス制限の設定が引き継がれてしまうこと」が挙げられます。今回、インシデントの詳細は公開されていませんので、あくまでも一般論として説明します。

在宅勤務やリモートワークが広まる中で、クラウドの活用が求められる機会が増えてきました。かつて、社内の情報共有として使われてきたオンプレの社内システムも、クラウドサービスに置き換えられることも少なくありません。仮に、オンプレからクラウドへ移行する際に、クラウドのストレージサービスとオンプレのファイルサーバで同じ設定をしていた場合、それぞれのセキュリティリスクは同様になるのでしょうか？

もともと、オンプレのファイルサーバはクラウドを前提とした設定になっていたでしょうか？言い方を変えると、インターネットに公開されることを前提とした設定になっていたでしょうか？具体的には、社内の限られた人しか物理的にアクセスできないことを前提にしていた場合、ユーザ認証やアクセス制限は見直される機会がないまま、オンプレからクラウドへ移行されてしまうかもしれません。これが、クラウドで不正アクセスの被害が発生してしまう原因の正体です。

長期休暇前にクラウドのセキュリティで気を付けておくべきポイント

長期休暇前にクラウドのセキュリティで気を付けておくべきポイントとして、ベストプラクティスに照らし合わせてクラウドの設定周りの確認をしておくことが有効です。

これからの長期休暇で家を留守にすることがあるのではないでしょうか。家を出る前に、窓の鍵、家電のスイッチ、火の元など、うっかり忘れていることがないか確認すると思います。万が一、留守中に事件や事故があった際は、対応できずに被害が大きくなってしまうことは簡単に想像できますね。また、外出前に忘れがちなチェックポイントは冊子などにまとめられていることもあります。

クラウドも同様で、不備がある状態が長期間にわたって放置されてしまうと、不正アクセスの被害にあってしまう可能性も高まります。さらに、長期休暇となれば発生したインシデントを直ちに検知したり対応したりすることも難しくなるかもしれません。その際に、本来のあるべき姿としてベストプラクティスがまとめられているのがCISベンチマークです。

CISベンチマークとは、システムを安全に構成するための情報がまとめられたベストプラクティスです。AWSやAzureなど、各クラウドサービスごとにガイドラインが作成されており、CISベンチマークに準拠しているか自動的にチェックするツールが提供されている場合もあります。

クラウドが簡単に使い始められることの弊害であるかもしれませんが、クラウドの設定不備によるインシデントが後を絶ちません。先ほども例に挙げた、ユーザ認証やアクセス制限もクラウドの設定周りの問題です。CISベンチマークなどベストプラクティスに照らし合わせて、違反があれば修正を検討することが求められます。

今回は、クラウドの不正アクセスを受ける主な原因と、長期休暇前に確認しておきたいクラウドのセキュリティについてお届けしました。ご利用中のクラウドで思わぬリスクが放置されていないか安全を確認してから、安心して長期休暇を楽しみましょう。

音声で聴かれるかたはこちら