fbpx

クラウドの設定ミスとは?情報漏洩が起きる理由や事例を紹介します!

  • このエントリーをはてなブックマークに追加

クラウドとは?

業務で必要なネットインフラやソフトウェアをインターネットを経由して利用することです。
ベンダーがサービスとしてインターネット上に不特定多数のユーザー向けに提供しており、料金さえ払えば誰でも利用できます。
全ての設備を揃える必要があったオンプレミスとは異なり、自社でサーバー・ストレージの購入、ソフトウェアのインストールをする必要がありません。

セキュリティと生産性を両立する!クラウドを前提にしたゼロトラストに関するホワイトペーパーを今だけ無料でプレゼント中!

ベンダーが設定している料金さえ払えば利用できるため、クラウドでは「必要な時だけ利用して使用した分の料金を払う」といったコストの無駄を省くことが可能です。
また、アクセス障害やシステムトラブルの対応は基本的にベンダーが行っており、セキュリティに関しての知識やノウハウが浅い企業でも比較的導入しやすい傾向にあります。
日々変化するサイバー攻撃やマルウェアに関する情報に対してベンダーは対策を行っており、セキュリティに関する知識が浅い企業がオンプレミスで情報を管理するよりも遥かに安全だからです。

ですが、Google WorkspaceやSalesforceなどのソフトウェアをインストール無しで利用できるSaaS(Software as a Service )の増加もあり、システム管理者が想像しているよりも遥かに多くのサービスを組織全体で利用しています。そのため、未使用のアカウント情報放置やアクセス権の設定ミスなどが原因で、不正アクセスや情報漏洩が多発しています。

クラウドサービスにおける設定ミスが起きる3つの理由とは?

最も大きな原因はクラウドを使用する上で、ユーザーが責任を持って設定を行う内容が正確に把握しきれていないことです。
勘違いや確認不足によって、外部に対して情報が公開される形になっています。

セキュリティへの責任を請け負う意識が希薄

全てを自社のやりやすい形にカスタマイズできたオンプレミスとは異なり、クラウドの場合はベンダーからサービスという形で利用しています。
責任共有型モデルと呼ばれるクラウドでは、企業や組織がサービスを提供するベンダーが定めたルールに基づいて行動をしなければなりません。
サービスを提供するベンダーはサービスが正しく機能できることが役目であり、そのためにサイバー攻撃マルウェアに関する対策を日々練っています。

一方でユーザーは使用しているサービスの中身を正しく理解し、情報漏洩を防ぐために様々な設定を行うのが責任です。
データファイルにおけるアクセス権の設定は顕著な例であり、サービスを利用するユーザーでないと利便性・安全性を備えた権限の付与はできません。
クラウドの設定ミスが原因で情報漏洩が多発している現状を踏まえると、「責任を共有している」との考えでクラウドサービスを利用している企業は少数派と言えそうです。

未使用アカウントの放置

組織内で利用するSaaSの数が増えるほど、アカウント情報の発行・管理を行わなければなりません。
SaaSは手軽にどのユーザーも利用できる反面、正しく管理を行わないと犯罪者にアカウント情報をハッキングされ、不正アクセスの足掛かりとして利用されます。
依然として企業の情報盗取の原因の多くは、ID・パスワード管理の甘さを突かれてアカウント情報のハッキングを許すパスワードリスト型攻撃であり、2020年でもエアアイカードや任天堂が被害に遭っていました。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

また、退職者・休職者・転籍者などのアカウント設定も正しく行う必要があり、アクセス権が有効な場合は外部からの攻撃に加え、内部漏洩のリスクも高まります。
情報盗取を防ぐため、アカウント情報の一括管理を行うIDaaS(Identity as a Service)、自社のSaaS利用の見える化・一元化を可能とするSaaS管理システムの導入を推奨しています。

オンプレミスとクラウドでのセキュリティ面の違いに苦慮

自社内に情報を管理していたオンプレミスとは異なり、不特定多数のユーザーが利用している社外環境で情報を保管する形となります。
外部からの攻撃に遭う確率は高まるため、オンプレミスでは考慮していなかった部分を含めての強固なセキュリティ対策が必要です。
ですが、知識・スキルに長けた人材が社内にいない場合や変化する攻撃に対して対応意識が低い場合は、目まぐるしいスピードで変化するクラウド特有のリスクに対応していけない可能性が高まります。

一度でも情報漏洩が起きると今後のビジネスが厳しくなってくるため、企業全体として取り組みを見直さなければなりません。また、オンプレミスとクラウドサービスではデフォルトやアクセス権の設定は異なるため、認識不足やヒューマンエラーによって情報漏洩につながるリスクを秘めています。サーバーとクラウドサービスでの設定に不備が無いか、細かくチェックすることが重要です。その中で、クラウドを前提にしたセキュリティモデルであるゼロトラストの導入も検討を行う必要があります。

より具体的にゼロトラストネットワークの構成が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

クラウドサービスの設定ミスによる情報漏洩の事例を3つ紹介

ここ半年間の間で急速に被害案件が表面化しているSalesforce上での設定ミスが原因で発覚した情報漏洩の事例をご紹介します。

楽天

2020年12月にクラウドサービスに保管していた約148万件の企業・個人情報が流出した可能性があると発表しました。
原因はクラウド上で顧客管理システムを提供するSalesforce上での設定ミスで、企業と顧客を結ぶ機能であるExperience Cloudでのアクセス権がゲストユーザーなら誰でも閲覧できる状態になっていたことが原因です。

Salesforceをはじめベンダー側は、「ユーザーが決めたアクセス権を正しく機能する状態を維持すること」が求められます。
つまり、ユーザーが毎日サービスを安心して利用できるよう、システムが安定的に稼働する状態を保ち続けることが仕事です。

一方で利用するユーザーは、アクセス権を「どのゲストに、どの程度の範囲まで情報を公開するか」を決める責任が問われます。
売上拡大や営業戦略に基づいた集客を行うのは顧客とつながっているユーザー自身であり、ベンダーが行うことではありません。
クラウドサービスの特徴である責任共有モデルについての認識不足が、今回の情報漏洩につながったと言えるでしょう。

また、楽天側は5年間に渡って設定ミスの状態でサービスを運用していたと発表しています。
オンラインショッピングでの売上が好調に推移してきましたが、今回の情報漏洩でセキュリティ対策に関して不安なイメージを消費者に与える形となり、今後のビジネスにどのような影響が出るか注目されています。

PayPay

2020年12月にPayPayが保有するサーバーが不正アクセスを受け、Salesforce上に保存されていた約2,000万件の機密情報が流出しました。
原因はサーバー更新時にアクセス権の設定を誤り、本来は社員しか閲覧できないデータファイルが外部の人間も閲覧可能な状態になったことが原因とされています。
流出した情報の中身がパートナー企業の社名・連絡先・担当者の情報内容だったため、ユーザーに関しては無事でした。

ただし、情報漏洩の事件が多発して各企業は敏感になっており、今回のように取引先に関する情報漏洩が洩れた場合は取引量制限・停止の対応処置が行われるケースも十分あり、注意が必要です。

情報漏洩が起きた場合の企業への影響

狙われる情報資産 懸念される影響
内容
  • 社員の個人情報
  • 顧客・取引先の個人情報
  • 蓄積してきたノウハウ・技術データ
  • 莫大な経済的利益損失
  • 取引先からの信用失墜・取引量低下
  • 消費者離れ
  • 市場での優位性損失
  • 企業ブランドの失墜

イオン銀行

2021年1月に、来店予約・オンライン相談サービスに保存されていた最大2062人分の個人情報が流出したとイオン銀行は発表しました。
楽天、PayPayなど、Salesforce上での設定ミスによる情報漏洩の被害が多発していることを受けて独自に調査した結果、情報流出が確認されました。

流出した情報の中に口座番号や暗証番号は含まれておらず、顧客への直接的な被害は現在のところ確認されていません。
Salesforce上での設定変更を行った後に不正アクセスは確認されていないそうですが、高いレベルでのセキュリティ管理が求められる銀行で起きた事件なだけに、利用者の不安が高まっています。

クラウドサービスの設定ミスを防ぐためのセキュリティソリューションとは?

IDaaSでアカウント管理を行いセキュリティレベルを向上し、SaaS一元管理ツールでコストの見直しを図ります。
また、クラウドでの設定ミスを防ぐ新たなセキュリティソリューションとして、CSPM(Cloud Security Posture Management : クラウドセキュリティ態勢管理)が注目されています。

IDaaS

クラウド版AD(ActiveDirectory)と呼ばれるIDaaSは、アカウント情報の一括管理と認証機能をユーザーに提供するサービスです。
企業のクラウドサービスへの移行が本格的になってきたこともあり、ベンダーから様々なサービスが出されています。
そのため、自社に合ったサービスを見つけやすくなっています。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

IDaaSは利便性と安全性に備えた機能を多数備えており、セキュリティレベルの向上と作業効率改善を同時に実現可能です。
AD上で行っていた人事異動・入社・退社に基づくアカウント情報の変更もスムーズに反映します。

また、プロビジョニング機能を搭載したサービスを導入すると、IDaaS上で作成したアカウント情報を利用するクラウドサービスに自動反映することが可能です。
管理者とユーザーの業務負担を軽減するだけでなく、部署・ユーザー単位でアクセス権の調整が柔軟に変更でき、データファイルの閲覧人数を限定し情報の持ち出しリスクを防ぎます。

IDaaSの機能

機能内容 効果
シングルサインオン
  • 他のサービスで利用した認証情報を信用し、ワンクリックでログインを実現
  • ベンダーによっては管理画面で利用可能なサービスのみ表示
  • 利便性向上
  • 作業中のストレス削減
アクセス管理
  • IPアドレス制限
  • 端末制限
  • クライアント証明書による制限
  • IPアドレス制限
  • 国別・時間別アクセス制限
  • 不正アクセスのリスク軽減
  • シャドーIT防止
  • 内部漏洩対策
  • 海外のハッカー対策
認証
  • 煩雑なパスワード管理からの解放
  • パスワードリスト型攻撃の回避
  • コピー・偽造が困難
  • 利便性を確保
プロビジョニング
  • アカウント管理の自動作成・管理を実現
  • 主要サービスへのユーザー・グループ・部署単位でのアクセス権調整を実現
  • Active Directoryとの連携
  • 管理者の業務負担軽減
  • ヒューマンエラーの防止
  • 効率的なライセンス管理を実現

SaaS一元管理ツール

SaaS管理のソリューションは、自社内で使用しているSaaSの利用状況を見える化し、ユーザーアクティビティの分析やコストの可視化を行います。
利用頻度が低いサービス・未使用アカウント・業務上必要性の低いサービスの利用有無などを洗い出し、コストの最適化と適切なライセンス管理を行います。
利用するサービスを精査し必要性の低いサービスは利用しないことで、管理者の業務負担軽減や無駄な投資の発生を防ぐことが可能です。

また、ソフトウェア管理クラウドであるLOCKEDはIDaaSの機能も搭載しており、セキュリティレベルの向上とコスト管理を同時に行うことが可能です。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

LOCKEDの主な機能

  • SaaS利用で発生する組織・部署・ユーザー単位でのコストの分析
  • SaaSの利用状況を組織・部署・ユーザー単位で可視化
  • SaaSアカウントの一括管理・不要アカウントの検出
  • サービスの利用率・契約管理の確認

CSPM

CSPMは不特定多数に向けられたパブリッククラウドのサービスを一元的に管理することができるセキュリティソリューションです。
IaaS(Infrastructure as a Service)、PaaS(Platform as as Service)など複数のクラウドサービスを利用している場合でも、API連携でクラウドサービス内におけるセキュリティの設定ミスやルール違反が無いか自動的に確認します。

また、各サービスごとに利用する上で最も安全に利用できる使用方法をユーザーに紹介しており、ユーザーが安心して利用できる体制を整えています。

CSPMの主な機能

  • 複数のクラウド環境での一元管理を実現
  • 設定ミス・ガイドライン違反の行動有無を自動確認
  • ルールのカスタマイズが可能
  • ルール違反の行動へのアラート・自動修正機能

セキュリティと生産性を両立する!クラウドを前提にしたゼロトラストに関するホワイトペーパーを今だけ無料でプレゼント中!

  • このエントリーをはてなブックマークに追加