クラウドサービスに情報漏洩リスクはある?トラブルの原因と対策を解説!
いまやビジネスに欠かせないソリューションとなりつつあるクラウドサービス。しかし、情報漏洩が心配で導入に踏み切れない、という企業担当者の方は少なくないはずです。
そんな方に向け、クラウドで情報漏洩トラブルが発生してしまう主な原因と対策を、事例も交えながら解説!情報漏洩時の責任共有についても紹介します。
クラウドに蓄積された情報は安全?
ハードウェア / ソフトウェアを外部データセンターで管理するクラウドサービスは、初期コスト / メンテナンスコストを抑えられることが特徴でありメリット。しかし、クラウドに蓄積されたデータ / 情報の安全性は、完全だとはいえないのが実情です。
なぜなら、クラウドサービスは「だれでも利用できるインターネット」に接続されることが大前提だから。悪意ある第三者のバックドア(裏口)として利用されるインターネットは、情報漏洩ルートとなり得る可能性があるのです。
実際、東京商工リサーチの調査によれば、2022年に発生した情報漏洩・紛失事故件数は、過去最高を更新する165件にも上っています。この情報漏洩事故件数はクラウドだけのものではありませんが、普及率から考えれば、相当数がクラウドに関連していると考えられるでしょう。
参考:株式会社東京商工リサーチ
クラウドサービスで情報漏洩トラブルが起こる原因
それでは、クラウドサービスの情報漏洩トラブルはなぜ、どのようにして起こるのか?考えられる主な原因を紹介していきます。
サイバー攻撃
情報漏洩トラブルの原因として、筆頭に挙げられるのが「クラウドシステムに対するサイバー攻撃」です。なかでも、情報漏洩につながるサイバー攻撃としては「標的型攻撃」「SQLインジェクション」が知られています。
標的型攻撃とは、機密情報摂取などを狙った攻撃手法の1つ。ターゲット企業の従業員にマルウェアを仕込んだメールを送付して端末を感染させ、それを踏み台にネットワーク経由で情報を盗み出すというのが代表的な手口です。
一方のSQLインジェクションとは、データベースを不正に操作する攻撃手法のこと。入力フォームなどを利用して不正なSQL(データベース言語の1つ)文をシステムに注入(インジェクション)し、データベースから情報を盗み出すのが代表的な手口。アプリケーションの脆弱性をついたサイバー攻撃です。
|
▼関連記事 サイバー攻撃については、「サイバー攻撃とは?攻撃者の目的・近年の動向・ 攻撃の種類・手口・対策を解説!」をあわせてご覧ください。 |
クラウドアプリの設定ミス
設定ミスに気付かないままクラウドアプリケーションを運用することで、機密情報が公開され、意図せず情報漏洩につながってしまうパターンもあります。
たとえば、本来ならば制限を設けるべき情報へのアクセス権限を解放してしまえば、だれでも「機密情報を閲覧」できてしまいます。インターネットに接続されるクラウドサービスであれば、全世界に向けて機密情報を公開しているのと同じだといえるでしょう。
不正アクセス
端末から盗み取られたアカウント情報が不正アクセスに利用され、機密情報漏洩につながってしまう場合もあります。
特に、ユーザーID / パスワードを使いまわしている場合は、被害が拡大してしまう可能性が大きいでしょう。1つのアカウント情報で複数のクラウドサービスへ不正アクセスできてしまうからです。
災害 / 障害によるデータ消失
情報漏洩とはいえませんが、クラウドには「災害 / 障害によって大事なデータが消失してしまう」というリスクもあります。
特に、データセンター1か所のみでデータ管理していた場合、消失したデータの復元はほぼ不可能。SaaS型の多くは、複数データセンターに自動バックアップを作成する仕組みを採用していますが、IaaS / PaaSを利用する場合は自社でデータ管理しなければなりません。
クラウドに関連する情報漏洩インシデント事例
「クラウドサービスでも情報漏洩が起こり得ることや、その主な原因は理解した。しかし、具体的な情報漏洩事故や被害をイメージできない。」そんな方に向け、実際に発生した「クラウドに関連する情報漏洩インシデント」の事例をいくつか紹介しておきましょう。
内閣府が利用するファイル共有ストレージへの不正アクセス
2021年4月22日、内閣府は職員などが利用する「専用クラウド型ファイル共有ストレージ」が不正アクセスされたことを発表しました。内閣府のLAN運用事業者が、2021年1月に不正アクセスを検知し、直ちにシステムをネットワークから遮断。内閣サイバーセキュリティセンターの協力を得ながら調査を進めていたものです。
原因は、共有ストレージの脆弱性。そのため、ファイルの不正操作が可能になっており、231名分の個人情報が含まれたファイルに不正アクセスされました。アクセスログが残っていないため、ファイルそのものの流出に関しては確認できませんでしたが、個人情報の流出は否定できないということです。
参照元:内閣府
JTBクラウドサービスから1万件以上の個人情報漏洩
2022年10月25日、JTBは自社が管理・運用する情報共有クラウドサービスから、11,483名の個人情報を含む1,698件の書類が漏洩したことを発表しました。同社は、観光庁の補助事業者として地域振興事業を実施しており、情報漏洩したのは補助金交付を申請していた事業者の組織名・氏名・電話番号・メールアドレスなど。
原因は、サービス運用者のアクセス権限設定ミス。データへの個別アクセス権限が開放されてしまっていたため、ログイン権限を持つ事業者が相互にデータ閲覧可能になっていました。誤ってダウンロードされた18件に関しては、10月25日までに削除完了したことを確認。監督者を増やすなど、再発防止に向けた体制強化を進めると説明しています。
参照元:観光庁
情報漏洩の責任はクラウド事業者?
紹介した事例では大きな被害は発生していませんが、情報漏洩は組織に深刻な損害を与える可能性の大きいインシデントです。それはクラウドサービスでも同様であり、損害賠償を含む対応、システム復旧などに多額のコストが生じる場合も。なによりも、情報漏洩を起こしてしまった社会的信用失墜は、ビジネスに大きな影響を与えかねません。
それでは、クラウドサービスで情報漏洩事故が発生した場合、責任の所在はクラウド事業者にあるのか?クラウドサービスの場合、必ず「利用者」と「事業者」が存在します。どちらか一方の責任ということではなく、状況に応じて両者が責任を負うのです。これを「責任共有」といいます。
クラウドの利用形態に応じて責任共有は変動する
ただし、クラウドサービスは自社専用のハードウェア / ソフトウェアを利用するプライベートクラウドと、共有するパブリッククラウドに分類されます。さらに、パブリッククラウドは「IaaS」「PaaS」「SaaS」という3つの利用形態に分類可能。どのようなクラウドサービスを利用するかによって、責任共有の分担も変動します。
クラウドサービスそれぞれの特徴は以下の通り。まずは、利用形態によってどのような違いがあるのかを理解しておく必要があります。
|
クラウドの利用形態 |
概要 |
|
プライベートクラウド (オンプレミス型) |
クラウド事業者の施設に、自社ハードウェア / ソフトウェアを設置し、 インターネット経由で利用するクラウドサービス。 ハードウェアを含め、システムを自社で占有する |
|
プライベートクラウド (ホスティング型) |
クラウド事業者のハードウェアを自社専用に確保し、 インターネット経由で利用するクラウドサービス。 ハードウェアを共有するIaaSと違い、ハードウェアを自社で占有する |
|
IaaS (Infrastructure as a Service) |
システム開発の土台となる「インフラ」部分を、 インターネット経由で利用するクラウドサービス。 施設 / ハードウェア / 仮想環境などが含まれる |
|
PaaS (Platform as a Service) |
アプリケーションの開発基盤となる「プラットフォーム」部分を、 インターネット経由で利用するクラウドサービス。 インフラに加え、OS / ミドルウェアなどが含まれる |
|
SaaS (Software as a Service) |
ベンダーがクラウド環境に構築した「ソフトウェア」を、 インターネット経由で利用するクラウドサービス。 ユーザーはデータのみ管理するのが原則 |
プライベートクラウド / IaaS / PaaS / SaaSの責任共有
クラウドサービスそれぞれの特徴を理解できれば、責任共有の分担がどうなるのかも理解できます。具体的には、「管理する部分について責任を負う」ということ。各クラウドサービスの具体的な責任分担は以下の通りです。
|
プライベート クラウド (オンプレミス型) |
プライベート クラウド (ホスティング型) |
IaaS |
PaaS |
SaaS |
|
|
データ |
ユーザー |
ユーザー |
ユーザー |
ユーザー |
ユーザー |
|
アプリケーション |
ユーザー |
ユーザー |
ユーザー |
ユーザー |
クラウド 事業者 |
|
ミドルウェア |
ユーザー |
ユーザー |
ユーザー |
クラウド 事業者 |
クラウド 事業者 |
|
OS |
ユーザー |
ユーザー |
ユーザー |
クラウド 事業者 |
クラウド 事業者 |
|
仮想環境 |
ユーザー |
ユーザー |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
|
ハードウェア |
ユーザー |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
|
ネットワーク |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
|
施設・電源 |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
クラウド 事業者 |
参考:総務省
クラウドサービスの情報漏洩対策
クラウドサービスの責任共有/分担は理解できた。それを踏まえた上で、情報漏洩を防ぐにはどうすべきなのか?知りたい方に向け、具体的なクラウドサービスの情報漏洩対策を紹介していきましょう。
セキュリティポリシーの策定・利用者研修
クラウドサービス導入時に限らず、組織としてまずやるべきこと、やっておくべきことは「セキュリティポリシーの策定」および「利用者の教育・研修」です。セキュリティポリシーとは、情報セキュリティに関する基本指針・体制を定め、対策・実施手順を明記した文書のこと。主な内容は以下の通り。
|
基本方針 |
情報セキュリティに関する基本的な考え方 |
|
運営方針 |
情報セキュリティ対策の実務方針、利用者教育・研修の実施方法 |
|
対策規定 |
具体的な情報セキュリティ対策。ソリューション導入時の指針 |
|
対策手順 |
ソフトウェア / ハードウェアの管理規定、アウトソーシング先の管理規定など |
セキュリティポリシーを策定しても想定どおりに実施されないのでは意味がありません。利用者を含む関係者すべてがポリシーを理解し、実施できる体制構築が重要。IPAが公開するガイドラインなどを参考に、ポリシー策定を進めていきましょう。
セキュリティ担当者の教育
体制構築を進めていくなかで重要になる要素が、セキュリティ対策の責任者を指名すること、および教育です。JTBの情報漏洩事例を見てもわかるように、インシデントは「外部からの攻撃」「システムエラー」以外の「ヒューマンエラー」が少なくないからです。
また、クラウドサービスの情報漏洩が発生した場合に備え、対応方法・手順を決めておくことも重要なポイント。トラブル発生時に対応する専任チーム、CSIRT(Computer Security Incident Responce Team)を自社内に持つ企業も増えています。
|
▼関連記事 CSIRTについて詳しく知りたい方は、「CSIRTとは?意味や役割、設置までのステップを解説」 をあわせてご覧ください。 |
信頼できるクラウドサービスを導入(SaaS)
SaaS型クラウドサービスを導入する際は、自社のセキュリティポリシーと照らし合わせ、要求を満たした信頼できるサービス事業者を選定しましょう。データのみが自社管理・責任となるSaaS型は、ソフトウェア以下のセキュリティを事業者に委ねるしかないからです。
特に、プラン / オプションが細分化されているクラウドサービスには注意が必要。オプションを追加しなかったばかりに、情報漏洩やデータ消失につながってしまった、ということがないよう、精査しておく必要があります。
アプリ / OSの脆弱性を管理(PaaS / IaaS)
データ以外の管理を事業者に委ねるSaaS型と異なり、PaaS利用時はアプリケーションを、IaaSはアプリに加えてミドルウェア/OSを自社管理する必要があります。具体的には、クラウドからの情報漏洩を防止するため、悪意ある第三者から狙われやすい「脆弱性」を管理していくということです。
PaaS / IaaSどちらを利用するにしても、自社開発したアプリケーションの運用・保守は、外部委託する場合が一般的。ただし、委託先に任せきりにしてはいけません。あくまでも自社がクラウドサービスの管理主体であることを意識し、委託先と密に連携していく必要があります。
分散バックアップ(PaaS / IaaS)
Paas / IaaSの場合は、万一のサイバー攻撃 / データ消失に備えた分散バックアップも自社責任です。BCP対策も兼ね、ロケーションの異なるデータセンターに分散バックアップを確保しておくことが重要。外部でデータ管理するクラウドサービスの場合、自社ストレージにバックアップを確保しておくこともおすすめです。
また、通常は自動でバックアップを作成するSaaSですが、念のためにサービス内容を確認しておくことも重要です。
※BCP対策とは、自然災害などの緊急事態時に備えて事業資産を分散管理し、被害を最小限に抑えつつ速やかな事業再開を目指す対策のこと
CASBの導入(SaaSの場合)
複数のクラウドサービスを併用する「マルチクラウド」が普及した現在、情報漏洩につながるリスクとして挙げられる問題がシャドーIT(企業側が把握していない機器やツールを従業員が使用している状態のこと)。これを解決するソリューションとして注目されているのが「CASB(キャスビー)」(Cloud Access Security Broker)です。
CASBとは、組織におけるクラウドサービスの利用状況を監視し、セキュリティポリシーを逸脱するサービス利用を制限するソリューションのこと。安全ではないサービスを利用することで発生する「マルウェア感染・不正アクセス」リスクを未然に防止できます。
データ利用 / 公開設定の許可、データ暗号化 / 改ざん検知、マルウェア / 不正通信検知などの機能を備えるサービスもあるため、複数SaaSを併用する企業におすすめです。
Microsoft Defender for Cloud Apps
画像出典:Microsoft
Microsoft Defender for Cloud Appsは、利用アプリの状態を可視化し、データを保護する「SaaSアプリ向け」CASBソリューションです。シャドーITの検出と制御、リアルタイムデータ制御による機密情報保護といった基本機能のほか、ランサムウェア / 異常な動作検出などの脅威保護機能も搭載。SaaSアプリのセキュリティ強化にも利用できます。
CSPMの導入(PaaS / IaaSの場合)
JTBの事例からもわかるように、プラットフォーム / インフラ上に独自システムを構築するPaaS / IaaSは、設定ミスなどが情報漏洩につながりやすい傾向があります。こうした人為的ミスによる情報漏洩リスクを低減できるソリューションが「CSPM」(Cloud Security Posture Management)です。
CSPMとは、クラウドサービスの現状をチェックし、設定ミス / 脆弱性など、情報漏洩インシデントにつながる要因を検証・分析するソリューションのこと。AWS / GCP / Azureを含むマルチクラウド一元管理、マルウェア / 不正アクセス検知などのセキュリティ機能を持つ製品もあります。
PaaS / IaaSを利用しながら、人為的ミスによる情報漏洩を防止したい企業におすすめのソリューションです。
Orca Security
画像出典:Orca Security
Orca Securityは、既存のクラウド環境を変更することなく、すぐに利用開始できることを特徴に持つCSPMソリューションです。AWSをはじめとしたマルチクラウドの一元管理に対応し、エージェントなどのインストールも不要。設定ミス、アクセス権限不備、脆弱性、セキュリティパッチ適用を検証できるほか、マルウェア侵入なども検知できます。
クラウドサービスの情報漏洩対策を紹介しました
いまやビジネスに欠かせないクラウドサービスだが、情報漏洩が心配で導入に踏み切れない。そんな企業単車の方に向け、クラウドで情報漏洩トラブルが発生してしまう主な原因と対策を、事例も交えながら解説。クラウドで情報漏洩が発生した場合の責任共有についても紹介してきました。
本文内でも触れたように、クラウドの安全性は完全ではありません。しかし、それはネットワークに接続されるオンプレミスであっても同様であり、どちらも情報漏洩対策は必須です。ならば、利便性に優れるクラウドサービスを選定し、適切な対策を施していくことがおすすめ。
重要なのは、クラウドの特徴を把握し、利用するサービスに応じて適切な対策を講じること。ニーズに応じた最適なプランを提案してくれるパートナーを選定することです。
