こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
国立大学法人琉球大学は1月20日、学内で利用するクラウドサービス内に保存されていた個人情報等が含まれたファイルの一部が同学構成員に閲覧可能であったと発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】学校で使われているクラウドサービスに設定不備があり、個人情報や入試問題が漏洩してしまった可能性があるということです。今回は、クラウドサービスでインシデントが発生する理由や、その対策について説明します。
今回のインシデントでは、担当者のみが共有すべき会議資料や大学院入試関係資料等が、学生や職員等の同学構成員が閲覧可能な状態になっていました。なお、最も古いファイルは2020年4月から閲覧可能な状態であったということです。
原因として、学内で利用していた Microsoft Teams内に保存されていた個人情報等が含まれるファイルの一部について、情報共有者の限定やパスワードの設定を行っていなかったことが挙げられています。
対策として、同学では、個人情報が閲覧可能な状態となっていた対象者、及び大学院入試問題が閲覧可能であった当該研究科の受験生に対し、書面等で状況の説明と謝罪を行っています。また、閲覧可能な状態であったファイルについて当該Teams担当者以外が閲覧できないように措置を講じています。
なお、閲覧可能な状態であった一部の大学院入試関係資料が不正に使用された事実は確認できず、入試の合否判定については変更しないということです。
クラウドサービスでインシデントが多い理由として、簡単に使い始められる敷居の低さから、細かい設定が見過ごされていることが挙げられます。
多くのインターネットサービスはとても使いやすく作られていて、マニュアルを読むことなく使い始めることができます。一方で、使えているので問題ないと、細かい設定は見過ごされてしまうことも考えられます。
クラウドサービスでも同様に、簡単に使い始められるがゆえに、細かい設定が見逃されている可能性があります。今回のインシデントのようなストレージ機能を伴うクラウドサービスの場合、ファイルを共有するという目的が簡単に達成されてしまうため、共有したファイルを誰が閲覧できてよいか、アクセスを制御するという設定が見過ごされてしまったことが考えられます。
対応策としては、各クラウド事業者が提供するベストプラクティスを参考に、設定に不備がないか確認することが挙げられます。
多くのクラウドサービスでは、適切なセキュリティ設定ができるように、セキュリティガイドラインが提供されています。また、クラウド事業者ではなく第三者が提供するベストプラクティスとして、CISベンチマークが挙げられます。どれも無償で提供されていますので、すべての人が利用できます。ただし、セキュリティガイドラインを読み解くには、少しだけセキュリティの知識が求められますので、自信のない方は脆弱性診断をセキュリティ専門会社に依頼してみても良いかもしれません。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
