日商 Assist Biz

更新

企業を襲うサイバー脅威 クラウドサービス 利用時のリスク

その重要情報、丸見えかも

今月は、クラウドサービス利用時のリスクについて説明します。

クラウドサービスは、ここ数年で急速に普及しました。インターネットに接続できる環境があれば、利用する機器や場所に依存せず、さまざまなクラウドサービスを利用することができます。ほとんどの企業で、このようなサービスを業務で使用しています。特に多くの方が利用しているのが、「オンラインストレージ」と呼ばれるサービスでしょう。このサービスは、クラウド上にデータを保管することで、インターネットを通じてPCやスマホなどさまざまな機器で、オフィスだけでなく外出先などからでも利用できるサービスです。代表的なものには、DropBox、Box、iCloud、GoogleDrive、OneDriveなどがあります。その他にも、情報やファイルの共有サービス(GoogleGroups、Facebookのグループなど)もよく使われていることでしょう。

非常に便利なサービスですが、その裏には危険性もあります。機器や場所に依存しないということは、適切なアクセス制限をかけておかないと、本来そのデータを見るべきではない第三者に見られてしまうことがある、ということです。

「クラウド上にある機密データが見られてしまうことなど、そんな可能性は極めて低いだろう。だから、特に対策は必要ない」と思われるかもしれません。確かに、偶然に見られてしまう可能性は極めて低いでしょう。しかし、GoogleやYahoo!などの検索エンジンなどにより、見られてしまうことがあるのです。たとえば、「社外秘 docx.(Microsoft Wordのファイル拡張子)」などと検索をすることで機密情報が結果として表示されてしまうことがあります。2013年の夏から秋ごろには、GoogleGroupsで多くの企業や省庁、公共機関の機密データが第三者に見られてしまう状態だったことが大きく報じられました。(最近では、このような事件の報道はありませんが、このリスクが完全になくなったわけではありません)

対策としては、まず自分が利用するクラウドサービスの機能を理解し、実際に設定できるようにしておくことです。特にデータを扱える権限の適切な設定を理解し、必要なアクセス制限をすることです。アクセス制限をせず利用しているということは『公開』という設定であると判断され、多くの場合は検索エンジンによる検索の対象となってしまいます。そして、重要データは暗号化やパスワードによる保護などをしておきましょう。もし、設定ミスをしてしまっても、ファイルを保護しておくことで第三者に機密データが見られてしまうことを防ぐことができます。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ人材育成業務を担当している。『IT現場のセキュリティ対策完全ガイド』(日経BP社)『情報セキュリティプロフェッショナル教科書』(アスキーメディアワークス、共著)など著書多数

次の記事

長谷川長一

偽情報は「デマ」などと呼ばれ、以前からさまざまな事実とは異なる情報により多くの人々がだまされてきました。近年はインターネットで個人が情報を発信できるようになり、イン…

前の記事

長谷川長一

USBメモリーやSDカード、ポータブルハードディスクドライブなどの媒体や機器は、軽量かつ小型で持ち運びに非常に便利です。これらのデータが保存できる容量は年々大規模になり…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…