クラウド利用での情報漏洩に備える!情シスが知っておくべきリスクとその対策とは?
『クラウドサービスって費用が安いものを選ぶのが結局一番良いのよ~』
『情シスで関知していないクラウドサービス、実はいっぱいありそうなんだよね...』
なんて考えている情報システム部門の方、、いないとは思いますが、、危険です!!
クラウドサービスを利用することで相対的に情報漏えいリスクが増大するからです。
昨今では、企業や組織における情報資産を、クラウドサービスに保存するケースが一般的になっており、皆さまの企業でも実際多くのクラウドサービスを利用されているのではないでしょうか?
一般的に利用されているクラウドサービスが実は情報漏えいの温床だったとは、、、
今回は、知らないでは済まされない、、、
クラウドサービスでの情報漏えいリスクとその対策を解説していきます。
クラウドサービスからの情報漏えい
クラウドサービスは、自社でシステム環境を持たなくても利用できるという点で、業務の効率化や生産性向上が叫ばれている昨今、会社の発展になくてはならないものとなっています。
皆さまの会社でも多くのクラウドサービスを利用されていらっしゃることでしょう。
実は、そのようなクラウドサービスの利用拡大と比例して、社内の機密情報が漏えいしてしまう事故件数も増加しています。
クラウドサービス利用におけるセキュリティが、クラウドサービスを提供している企業のセキュリティ環境に大きく依存するためです。
また、クラウドサービスの利用者についてもIDとパスワードが流出してしまうと、そのクラウドサービス内にある企業の機密データを盗み見られる可能性があります。
更に複数のクラウドサービスで同じIDとパスワードを使いまわしているケースも往々にしてあるため、1つのIDとパスワードの流出が複数のアプリケーションにおける情報漏えいにつながる可能性さえあります。
以上のことから、クラウドサービスはオンプレミスの環境と比較すると相対的に情報漏えいリスクが高いと言えます。
しかしながら、コロナ禍におけるリモートワークの普及などもあり、クラウドサービスの利用を今さらやめるという選択肢を取ることは、競合企業にビジネスでの後れをとってしまう可能性があるため難しいでしょう。
そのため、企業は今以上の十分な対策を講じなければ、クラウドサービスを起因とした情報漏えいのリスクが日に日に高まることになります。
※情報漏えいによる企業のリスクはこちら
クラウドサービスの情報漏えいリスク
クラウドサービスを利用する上での情報漏えいリスクとして、以下の2点が挙げられます。
▽サイバー攻撃
▽ヒューマンエラー
▽サイバー攻撃
まず1つ目に考えられるリスクは、サイバー攻撃を受けてしまうことです。
これは、クラウドサービス提供企業とサービス利用者の両者ともに当てはまります。
Emotetなどを代表とするマルウェア(インターネット上のウィルス)によるサイバー攻撃は日々増加の一途を辿っております。
クラウドサービスを提供する側であっても、利用する側であっても、いつどの会社が狙われるのかが分からない状況です。
その対策として、ゼロトラストセキュリティ(全ての通信を信頼しないという前提のもと行われるセキュリティ対策)が声高に叫ばれております。
合わせて、情報を取り扱う従業員への教育も非常に重要です。
サービスを利用する側の立場であれば、自社内にゼロトラストを前提としたセキュリティの体制を整えること、従業員への教育を徹底することを対策として実施することができます。
しかしながら、クラウドサービスを提供する側の企業は、外部の企業であり、当然口出しはできません。
そのため、サービスを提供している企業がどのようなセキュリティ対策をしているのか、社内の文化として根付いているのかといった部分について、クラウドサービスを利用し始める前に調査し、信頼できる企業なのかを見極めることが非常に重要です。
※最恐マルウェアEmotetについて詳しくはこちら
※ゼロトラストセキュリティについて詳しくはこちら
▽ヒューマンエラー
2点目のリスクは、ヒューマンエラーです。
このヒューマンエラーについてもサービス提供元、利用者の両方で発生する可能性があります。
たとえば、サービス提供元の企業がアプリケーションの設定を誤り、本来非公開にしなければならないサービス利用者の情報を公開設定にしてしまい、誰もがその情報にアクセスできるようになってしまっていた、などがあります。
皆さまもこういったミスによる情報漏えいのニュースを目にしたことがあるのではないでしょうか。
また、サービス利用側であれば、カフェなどの公共の場で作業していたPCをそのままにしてトイレに行き、ログインIDやパスワードを盗まれたり、場合によってはPCそのものを盗まれて、機密情報を盗まれるようなケースもあります。
これらのヒューマンエラーを防ぐ方法として、ヒューマンエラーをさせないような仕組みづくりと社員への教育が重要です。
ヒューマンエラーを起こさせない仕組みとして、たとえば、会社支給のPCは必ずのぞき見防止フィルムを貼り付ける、一定時間の未操作で自動的にスリープ状態にする設定を義務づける、カフェなどの公共の場では利用してはいけないといったルールを策定することなどが挙げられます。
また、サイバー攻撃と同様に、社員へのセキュリティ教育も非常に重要です。
いくらルールや仕組みを整えたとしても、社員のセキュリティ意識が低ければ意味をなさないからです。
そのため、会社のセキュリティを強化する際には、仕組みの整備と社員への教育を合わせて行っていく必要があります。
※社員へのセキュリティ教育について詳しくはこちら
クラウドサービスにおける情報漏えい対策
クラウドサービスを導入する上で、情報漏えい対策として、情報システム部門ではどういったことを準備しておくべきなのでしょうか?
主に以下の3点に注意する必要があります。
▽該当のクラウドサービスを利用することが適切かどうかの調査
▽クラウドサービス提供企業との責任分界点の把握
▽情報漏えいを起こさせない社内体制や仕組みづくり
▽該当のクラウドサービスを利用することが適切かどうかの調査
クラウドサービスを自部門で利用したい、または他部門より利用申請を受けた場合、以下の3点に注意して、そもそも該当のクラウドサービスを利用することが適切なのかをチェックする必要があります。
・情報資産に対して、導入するクラウドが適切であるかの調査
・どういった脅威に晒される恐れがあるかのリスク分析
・脅威の頻度予測と発生時に考えられる被害リスクとリターンの分析
これらの内容をすべて洗い出しておき、該当のクラウドサービスを導入することが適切かどうかを検討する必要があります。
上記をクリアし、導入することが決まった場合は、適切なクラウドサービス提供企業の選定を行っていく必要があります。
クラウドサービスは、大手のITベンダーはもちろん、中小まで数多くの事業者が提供しており、それぞれサービスや企業そのものの特色が異なるため、前章の繰り返しになりますが、慎重にサービス提供企業を見極める必要があります。
▽クラウドサービス提供企業との責任分界点の把握
クラウドサービスを安全に利用するにあたり、サービス提供企業とサービスを利用する自社の責任分界点を知っておく必要があります。
とくに情報システム部門の皆さまは、社内で利用されている全てのクラウドサービスにおける責任分界点を把握しなければなりません。
責任分界点とは、サービス提供企業と利用者がそれぞれどの部分までの責任を追うのかという境界線を明確にするという考え方です。
たとえば、SaaSサービスでは、実際に利用するアプリケーションのデータ部分のみ利用者が責任を持ち、それ以外のプラットフォーム部分はサービス提供業者の責任範囲となるケースが一般的です。
当然、個別のアプリケーションによって明確な境界線は異なるため、サービスを利用する側としては、トラブルが発生してから思っていたよりも境界線が広かったといったことが無いように、利用開始前に確認しておく必要があります。
◇一般的なクラウドサービスの責任分界点
▽情報漏えいを起こさせない社内体制や仕組みづくり
情報漏えいを防ぐためには社内体制や仕組みも整える必要があります。
情報システム部門が特に配慮しなければならない点は以下の7点です。
・アカウント情報の十分な管理
・通信データの暗号化
・強固かつ厳格なユーザー認証とアクセス制御設定
・セキュアなアプリケーションやOSの構築
・データ保管場所の明確化
・データのバックアップや暗号化の習慣づけ
・情報漏えい発生時の報告ルートの整備
・アカウント情報の十分な管理
利用者のユーザーIDやパスワードなどといったアカウント情報の管理不備などが原因で、不正アクセスによる情報漏えい事故が起こった例は非常に多く、クラウドサービスにおいても例外ではありません。
誰もがどこからでも情報にアクセスしやすいクラウドサービスであるからこそ、その便利さに付け込まれることにならないよう、アカウント情報の管理をしっかりと行っておく必要があります。
利用を許可された利用者のみが適切な操作を行えるよう、情報システム部門全体でアカウントの管理には細心の注意を払うようにしていく必要があります。
・通信データの暗号化
クラウドサービスはインターネット回線を利用するサービスであり、通信途中で悪意のある第三者からデータを奪われる危険性が十分に考えられます。
とくにWi-Fiの場合、そのリスクが非常に高まるため、通信データを必ず暗号化し内容が分からないようにしておく必要があります。
必ずSSL通信を使用するように設定を行い、更にWi-Fiの使用時には、WPA2など高度な暗号化システムを利用することを会社の決まりごととしておかなければならないでしょう。
・強固かつ厳格なユーザー認証とアクセス制御設定
ウイルス感染などで、クラウドサービスの利用者のユーザーIDやパスワードが流出してしまった場合、クラウドサービス上に保管している情報が漏えいしてしまう危険性が高まります。
また、流出したものと同じユーザーIDとパスワードを他のサービスでも利用している場合、同時にそのサービスまでも不正アクセスを受けてしまう恐れがあります。
対策としてユーザーIDやパスワードを、個別のサービスごとに異なるものを設定するように社員教育することも重要ですが、利便性からID、パスワードを使いまわしているケースも多く、教育だけで完全に社内浸透させるのは極めて難しいと言えるでしょう。
そのため、そういった条件下でもセキュリティを担保する環境の構築が必要であり、多要素認証の導入やワンタイムパスワードの導入がクラウドサービスを安心安全に利用するために必要な措置と言えます。
※多要素認証について詳しくはこちら
・セキュアなアプリケーションやOSの構築
アプリケーションやOSに脆弱性が認められた場合、インターネット経由でその箇所から第三者が侵入してきたり、マルウェアなどに感染したりする危険性が増大します。
環境構築時には必ずセキュリティ性の高い設定を心がけることはもちろん、随時最新のプログラムへと更新を行うことがマストです。
情報システム部門で更新プログラムの配信設定などを行っているケースも多いと思いますが、社員がしっかりと配信されたプログラムを適用しているのかの確認や、利用しているクラウドサービスの脆弱性情報にも気を配っていく必要があります。
・データ保管場所の明確化
大手のクラウドサービス提供企業である場合、データセンターは世界中に存在します。
サービス提供企業によっては、日本と異なる法律のみでしか対応してもらえないケースもあります。
たとえばGoogleは、アメリカの法律に沿ってサービスが提供されており、何かしらの訴訟沙汰が起こった際には、アメリカの法律で裁かれることになります。
自分のデータがどこに預けられているのか、保管場所をしっかりと確認することはもちろん、問題発生時にどの国の法制度で裁かれるのかについてもしっかりと把握しておかなければなりません。
・データのバックアップや暗号化の習慣づけ
クラウドサービス提供企業がサイバー攻撃を受けた場合、預けているデータが消失したり、外部に漏えいしたりする危険性があります。
大切なデータを復旧できなくなる恐れも十分に考えられるため、クラウドサービスを利用するメンバーへ、別の媒体へのバックアップを習慣づけさせるもしくは、情報システム部門の管轄としてデータのバックアップを実施する必要があるでしょう。
また、データの内容は容易に閲覧できないように常に暗号化しておき、漏えいしてしまった際の対策として備えておく必要があります。
加えて、最悪のケースを想定し、クラウドサービス上に保存するデータの内容を慎重に判断することも重要です。
まずは契約する段階から、クラウドサービス提供企業のセキュリティ対策レベルや保証してもらえる範囲、利用規約などをしっかりと確認しておかなければなりません。
・情報漏えい発生時の報告ルートの整備
また、個人情報が万が一流出してしまった際の対応フローを明確にしておく必要があります。
2022年の個人情報保護法改正により、個人情報保護委員会への報告と情報が流失してしまった個人への通知が義務化されたためです。
個人情報保護法に違反した際の罰則も強化されたため、個人情報保護法の理解強化と万が一に備えた報告ルートや仕組みの整備は情報システム部門の必須対応業務となったと言えるでしょう。
そのため、そういった条件下でもセキュリティを担保する環境の構築が必要であり、多要素認証の導入やワンタイムパスワードの導入がクラウドサービスを安心安全に利用するために必要な措置と言えます。
※改正個人情報保護法の変更点はこちら
まとめ
今回はクラウドサービスを利用する上での情報漏えいリスクとその対策について解説してきました。
クラウドサービスの利用によって起こっている情報漏えい事故が増加しており、今後さらにクラウドサービスの需要が拡大することを考えると、事故件数もそれに比例して増加することが十分に考えられます。
その流れに歯止めをかけるには、各々の企業が十分な対策を講じる以外に方法はありません。
具体的には
▽該当のクラウドサービスを利用することが適切かどうかの調査
▽クラウドサービス提供企業との責任分界点の把握
▽情報漏えいを起こさせない社内体制や仕組みづくり
をしっかりと行っていく必要があります。
しかしながら、今回紹介した全てを一気に変えていくことは現実的ではありません。
自社の利用しているクラウドサービスやネットワーク環境、セキュリティ環境を鑑みて、どこが優先順位高く行わなければならないポイントなのかを整理することから始めるのがベターでしょう。
まずは、自社でどれくらいの情報漏えいが起こっているかのチェックをしてみても良いかもしれません。
※社員の方へ向けたセキュリティ教育をご検討中の方はこちら
※ご不明点はお気軽にお問い合わせ下さい
■関連記事
・情報漏えい対策の基本!! 当たり前のようで知らない情シスが行うべきこととは!?
・情報漏洩どう防ぐ?テレワークにおける企業データの守り方!|認証・認可
※この記事は、公開時点の情報をもとに作成しています。