IT & Information security Journal
NRIセキュアテクノロジーズ株式会社 ファイルセキュリティ事業部
私は情報システム・セキュリティ業務を担当しています。先日、事業部門から、オンラインストレージを利用したいという相談がありました。どのようなセキュリティリスクやその対策を念頭に、サービスの選定や助言を行うべきでしょうか。
オンラインストレージの利用により生じ得るセキュリティリスクは、「サービス自体のセキュリティの問題」と「サービス利用企業の設定ミス・操作ミスによる問題」に大別できます。
特に、後者の具体的な対策としては、「不要なアカウントの利用禁止」「許可していない環境へのデータの持ち出し防止」「危険な操作が行えない環境の整備」「危険な操作の監視」などが考えられます。
近年、ファイルをやりとりする際の利便性向上や効率化、外部可搬媒体(USBメモリー等)を業務に用いることによる情報漏洩の防止等の理由のため、オンラインストレージが広く利用されています。しかしながら、その導入・利用にあたっては、セキュリティ対策上、検討すべきポイントがあります。
オンラインストレージを利用したいと事業部門から相談を受けた場合に、情報システム・セキュリティ担当者はどのように対応するべきでしょうか。
本記事では、オンラインストレージの導入を検討する際に、情報システム・セキュリティ担当者が特に確認すべきセキュリティ上の観点について、特に「データ漏洩」のリスクに着目し、注意点とその対策に分けて紹介します。
オンラインストレージは利便性が高い一方で、保存するデータのセキュリティに関する問題が生じ得ます。オンラインストレージを利用する場合、ユーザーがアップロードするデータは、インターネットを通じてオンラインストレージのサービス提供事業者が管理するストレージに保存されます。この過程で、悪意ある第三者によるデータの盗聴や改ざん、漏洩が生じるリスクが存在します。
オンラインストレージの利用によるデータ漏洩の原因や、その影響が拡大する要因は、以下のとおり「サービス自体のセキュリティの問題」と「サービス利用企業の設定ミス・操作ミスによる問題」に大きく分けられます。
脆弱性やサービスの仕様等によるセキュリティリスク
オンラインストレージの脆弱性やサービス仕様上のセキュリティリスクがある場合、悪意のある第三者によって不正アクセスを受け、データが侵害されるおそれがある(例:古い暗号化方式の利用)。
サービス提供事業者内でのヒューマンエラー・内部犯行
オンラインストレージ提供事業者の従業員が、ヒューマンエラーにより意図せずサービス上の顧客データを公開してしまったり、権限を乱用してデータを不正にコピーしてしまったりすることなどにより、アップロードしたデータを外部流出させる危険性がある。
システム障害
システム障害により、オンラインストレージサービスが使用不可となり、データの可用性が損なわれる可能性がある。
管理者の設定ミスによる情報流出
オンラインストレージのアクセス権限や共有範囲の不適切な設定により、本来権限を付与すべきでない第三者等にデータが公開されるおそれがある(例:無認証でのアクセスの許可や、端末のアクセス制御の設定ミス)。
利用者の操作ミスによる情報流出
利用者の操作ミスにより、意図しない相手へデータが公開されるおそれがある(例:非公開ファイルへのアクセスURLの、意図しない相手への誤送信)。
管理者の設定ミスや利用者の操作ミスにより、顧客へ損害を与えた事例として、以下のようなケースがあります。
2017年、データ分析企業が利用するオンラインストレージサービスで、1億2,000万世帯以上の世帯情報が誤って公開されていました。これはオンラインストレージサービスの利用企業側の設定ミスにより発生したもので、URLさえ分かれば誰でもアクセス可能な状態でした。
2024年、日本企業が利用するオンラインストレージサービスの設定ミスにより、特定条件下で顧客の個人情報が外部から閲覧できる状態になっていました。
上記の事例からも分かるとおり、オンラインストレージの利用には、データの漏洩や改ざんなどのセキュリティリスクが伴います。事業部門がオンラインストレージサービスを選定する場合には、こうしたリスクを減らすため、情報システム・セキュリティ担当者は以下のような流れで確認やサポートをしていくことが求められます。
自社で定められたセキュリティ基準や、事業部門で想定されている使い方・リスクの許容範囲を確認します。
事業部門で利用を検討しているオンラインストレージサービスのセキュリティ対策を確認し、①の内容と照らして問題がないかを確認します。
セキュリティ対策について問題がないサービスの選定後、実際に利用する事業部門での検証を通して、想定通りの動作であることを確認します。
サービスを本番導入します。
特に上記②のフェーズでは、前述した「サービス自体のセキュリティの問題」「サービス利用企業の設定ミス・操作ミスによる問題」について適切な対策をとることができるか確認することが必要です。「サービス自体のセキュリティの問題」で、サービス提供事業者側に対して確認すべき内容として、主に以下があります。
オンラインストレージにデータをアップロード・保存・ダウンロードする際、その内容が読み取れない状態にするため、通信データや保存データを強度の高い暗号化により保護することが必要です。
2024年10月時点では、利用するサービスで、サービス提供事業者が、古い通信の暗号化方式であるSSL3.0、TLS1.0、1.1を利用不可にしていることを確認しましょう。
オンラインストレージに対してセキュリティ上の弱点がないか、サービス提供事業者が適切な脆弱性診断を実施しているかどうかを確認、調査します。サイバー攻撃は日々進化しており、脆弱性も増加しています。サービス提供事業者は定期的に、自ら、または第三者機関に依頼して診断を行い、問題のある箇所があれば内容に応じて速やかに修正する必要があります。
サービス提供事業者側がサービス運営において実施しているアカウント管理状況を確認する必要があります。
アカウントは業務上必要な権限のみを、必要な人員に対して作成・付与し、確実に本人が使用していることを確認します。退職や異動があった場合には、不要なアカウントは速やかに無効にすることも必要です。
また、重要データへアクセスできるアカウントは特に厳格な認証方法を利用します。たとえば、トークンやクライアント証明書を用いた二要素認証や端末認証により認証を強化し、権限を付与された従業員が利用していることを確認します。こうしたアカウント管理・権限管理をサービス提供者側が実施しているか確認することが重要です。
オンラインストレージに保存されたデータの安全性を確保するためには、サービス提供事業者が常にデータの状況を監視・分析し、異常なアクセスや操作が発生した場合には迅速に対処できることが必要です。たとえば、定期的にログに異常がないかを監視したり、普段アクセスをしない時間帯にアクセスがあった、といった異常が発生した際にメールでアラートを受け取る仕組みを実装しているか、などを確認しましょう。
データに対する可用性を維持するためには、自社のデータの保存要件に対応する適切なバックアップが必要です。自社内で取り決めている一定期間のあいだデータが保存され、またシステム障害等でデータが消えてしまった場合の復旧が想定どおり可能であるかを確認しましょう。
上記のようなチェック項目すべてを、情報システム・セキュリティ担当者がサービス提供事業者側に確認するのはとても手間がかかります。そのため、最も簡易な方法として、そのサービスが第三者認証を取得しているかを確認することがあげられます。第三者認証とは、サービス提供事業者の組織外の第三者によって審査され、認証を受ける制度です。自社で信用のできる認証を選択し、その認証をサービス提供事業者が取得しているかを確認しましょう。
代表的な認証としては、日本企業でも多く取得されているISO27001(ISMS)やそれに付随するISO27017(ISMSクラウドセキュリティ認証)、ISO27018、また日本において取得が増加しているISMAP等があります。
続いて、「サービス利用企業の設定ミス・操作ミスによるデータ漏洩対策」に着目した、サービス選定のポイントについて説明します。サービス利用企業がミスを起こさないよう、また仮にミスが起きても迅速に対処できるような対策を紹介します。
退職者のアカウントや、一次的な業務利用のために貸与したアカウントなど、使わなくなったアカウントからのデータ侵害を想定したリスク対策が必要です。そのため、一定期間ログインされていないアカウントを特定し、非アクティブ化するなど、アカウントの棚卸をルール化する必要があります。これを実現するためには、特定期間におけるオンラインストレージサービスへのログイン履歴を確認する機能が必要不可欠です。
また、サービスによっては利便性を重視した「無料アカウント」が発行可能なものもありますが、情報システム・セキュリティ部門がアカウントの存在を把握できず、セキュリティリスクの増大につながることから、「社内環境からの無料アカウントの利用を禁止する」などの対策も必要です。具体的には、契約環境を専用ドメイン化し、Webフィルタリング製品等で共用URLへのアクセスを制御するなどが考えられます。
許可されたネットワーク・端末以外からのログインを認めることは、許可していない環境へのデータの持ち出しを許容することになります。対策として、IPアドレス制限やログイン端末制限といった機能が当該サービスで利用できるかどうかを確認しましょう。
また、外部サーバとの認証連携機能(SSO:シングルサインオン)を用いることにより、情報システム・セキュリティ担当部門が認証強度を一元管理することも有効です。
情報システム・セキュリティ担当者は、従業員が組織にもたらすセキュリティリスクを最小限にしなければなりません。そのため、企業側が必要最小限の範囲となるよう権限設定を行い、セキュリティ設定を施したフォルダのみを従業員に使用させるといった方法が推奨されます。アップロードされたファイルを自動的にウイルスチェックする機能の活用なども、セキュリティリスクを予防します。
また、不正な操作の痕跡を抹消できないよう、アップロードファイルのバージョン履歴を管理する機能を用いることなども有効です。
誤操作の予防策、不正操作の牽制策としては、ファイルアップロード時に上長の事前承認を必須化する、または自動通知するような機能を用いることが有効です。また、不正な操作(アップロード、ダウンロード、共有等)について自動検出する機能を備えているサービスもあり、それを活用することも考えられます。各社によって定義が異なる「不正」を検出できるかどうかは、実際に検証してみることを推奨します。
本記事では、情報システム・セキュリティ担当者がオンラインストレージを利用したいと事業部門から相談を受けた場合、サービス利用側のミスによるデータ漏洩対策に着目したサービス選定ポイントについて、チェック項目・リスク対策別に解説しました。
上記で紹介したリスクの観点と、自社で定めているセキュリティ基準や、事業部門で想定している使い方・リスクの許容範囲を照らし合わせながら、対策を決定していくことが重要です。対策によっては、社内で使用している他のシステム等との連携が必要となることもありますので、実際に利用する事業部門での検証を通して、想定通りの動作が実現できることを確認しましょう。
なお、NRIセキュアテクノロジーズ株式会社では「クリプト便」をはじめ、「Box」や「FinalCode」など、ファイルを安全・便利に届けるためのソリューションを取り扱っています。業務で取り扱うファイルの機密度と、ビジネス要件に合わせて、最適な解決策をともに検討しますので、お困りの際にはぜひ気軽にお問い合わせください。
NRIセキュアテクノロジーズ株式会社 ファイルセキュリティ事業部
当部では、「クリプト便」をはじめ、「Box」や「FinalCode」などファイルを安全・便利に届けるためのソリューションを取り扱っています。 取扱うファイルの機密度と、ビジネス要件に合わせて、最適な解決策をともに検討しますので、PPAP運用からの脱却など、お困りの際にはぜひお気軽にお問い合わせください。ソリューションに関するお問い合わせは https://www.nri-secure.co.jp/info/crypto よりご連絡ください。
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
SaaS導入・運用の実務と法律上の注意点
SaaS導入・運用の実務と法律上の注意点
SaaS導入・運用の実務と法律上の注意点
この記事をシェアする
最新情報をフォローする