クラウドサービスの普及に伴い、情報漏洩のリスクが増加しています。サービスにより利便性が高まる一方で、セキュリティ上の脅威にはきちんと対応しなければいけません。クラウド環境における情報漏洩の原因や効果的な対策について、実例とともに解説します。
目次
クラウドサービスの情報漏洩の現状
クラウドサービスの利用は急速に広がっており、企業のデータ管理や業務効率化に大きく貢献しています。その一方で、データの集中管理やアクセスのしやすさが、情報漏洩を引き起こすケースも増えているのが現状です。
IPA(情報処理推進機構)の「情報セキュリティ10大脅威(組織編)」によれば、
情報セキュリティの脅威として挙げられている要素は以下になります。
個人向けの脅威
- インターネット上のサービスからの個人情報の窃取
- インターネット上のサービスへの不正ログイン
- クレジットカード情報の不正利用
企業向けの脅威
- ランサムウェアによる被害
- サプライチェーンの弱点を悪用した攻撃
- 内部不正による情報漏えい等の被害
企業に対し直接攻撃を行うランサムウェアなどの脅威も問題ですが、個人向けの脅威についても問題視されています。
近年はクラウドサービスを利用してリモートワークを行う従業員や個人事業主が増えているため、個人のクラウドデータが脅威にさらされることで、会社の重要情報も漏洩するリスクが増えているためです。
企業は対策を徹底し、社内の機密情報を守らなければいけません。現状を正確に把握した上で、適切な対策を講じることが、企業の信頼性の向上につながります。
※出典:情報セキュリティ10大脅威2024|IPA 独立行政法人 情報処理推進機構 セキュリティセンター
クラウドで情報漏洩が起こってしまう原因
クラウド環境での情報漏洩は、さまざまな要因で引き起こされます。以下のように、ユーザー側の設定ミスや端末の紛失・アカウント管理の不備など、代表的な原因を知っておきましょう。
ユーザーによる設定ミス
ビジネスシーンにおいて、クラウドサービスを利用する際には、データやアクセス権限の設定が極めて重要です。ユーザーが設定ミスをしてしまうと、意図せず第三者に情報を覗かれてしまい、そのまま窃取されてしまうリスクがあります。
例えば、アクセス権限を誤って公開状態にしたままにすると、本来アクセスを許可していない外部のユーザーがデータにアクセスできるようになり、情報漏洩につながります。日頃から設定を確認する習慣や、定期的に設定の見直しが欠かせません。
アクセス端末の紛失
社員が仕事で使用中の端末を紛失してしまった場合、内部に保存された認証情報を利用して、クラウドサービスに不正アクセスされる恐れがあります。特に、スマホやタブレット端末・ノートPCなどは、紛失のリスクが高いので注意しましょう。
事実、電車内に端末を置き忘れてしまい、顧客情報の流出が疑われた事件などが発生しています。ビジネスシーンで活用する端末は極力社外に持ち出さず、セキュリティポリシーに基づき、適切に管理することが大事です。
また、万が一に備えて遠隔デバイス管理機能を活用し、紛失時には迅速にデータを削除できる仕組みを整えておくとよいでしょう。
アカウントの管理不備
同じパスワードを複数のサービスで使い回すと、クラウドアカウントのセキュリティが低下し、不正アクセスのリスクが高まります。誰もが場所を問わずアクセスできる性質上、クラウドサービスはアカウント情報の流出が大きな問題になりかねないため、徹底した管理が必要です。
パスワード管理ツールの活用や多要素認証の導入により、不正ログインを防ぎ、安全にアカウントを利用できるようにしましょう。
サイバー攻撃
近年は、クラウド環境を狙ったサイバー攻撃も増加しています。特に、フィッシング詐欺やマルウェアなどにより、クラウドサービスのログイン情報を窃取し、不正に情報にアクセスする事例も出ています。
攻撃者は、脆弱性のあるクラウドシステムやユーザーの不注意を悪用するため、定期的なセキュリティ診断や、攻撃の兆候を早期に検出する監視体制の構築が必要です。
クラウド環境における情報漏洩の実例
クラウド環境における情報漏洩の実例を知ることで、潜在的なリスクを正しく認識し、適切な対策を取るためのヒントを得られます。ここでは、実際に起こった3つの事例を押さえておきましょう。
脆弱性を利用した不正アクセスの事例
2021年、某大手の電子機器メーカーは外部からの不正アクセスにより、取引先のものを含む多くの個人情報が流出したと発表しました。同社は2020年も不正アクセスの被害を受けており、あわせて1万件近くの情報が流出したことになります。
詳しくは発表されていないものの、子会社への不正アクセスにより、同社が利用していた管理システムのログイン情報が窃取されたことが原因ともいわれています。アカウント情報の管理不備により、攻撃者が容易にシステム内に侵入できた可能性があるわけです。
この事例は、企業間で共有するシステムや、データベースのセキュリティの強化の必要性を示唆しています。特に、二段階認証の導入や不審なログイン活動の早期検知が重要です。ただし、本事例は多要素認証が突破された結果、発生したともいわれているため、さまざまな観点からセキュリティの担保が求められることが分かります。
アクセス権限の設定ミスの事例
2022年、某大手旅行会社はある官庁の支援事業において、1万件を超える個人情報の漏洩を発表しました。同社が利用中のクラウドサービスで、アクセス権限の設定にミスがあったのが原因とされています。
本事業に申請する企業は本来、自らの申請書以外はアクセス不可の設定がされていたところ、管理者のミスにより、異なる事業者の情報も閲覧できる状態が続いていたようです。結果的に、アクセスできないはずの他事業者の申請書が相互にダウンロードされる形となり、情報の漏洩を招きました。
内部不正による機密情報が漏洩した事例
2021年、某企業の社員が転職する際に、社内の技術関連の情報を不正に持ち出した事件もあります。内部情報をメール送信により流出させた事例であり、アクセス権限を有する社員ならば、容易にできる不正行為といえるでしょう。
こういった内部不正は、アクセスログの監視や社員のアクセス権限管理を徹底することで抑止できます。技術的な対策に加えて、社員教育や人的な監視体制の強化も必要でしょう。
クラウドでの情報漏洩に有効な対策
クラウド環境での情報漏洩を防ぐには、技術的な対策と人的な取り組みの融合が求められます。以下のように、アクセスアカウントの徹底管理やセキュリティポリシーの策定に加えて、社員教育やシステムによる監視強化に力を入れることが大事です。重要なポイントを確認しておきましょう。
アクセスアカウントの徹底管理
クラウドサービスにおける情報漏洩を防ぐには、まずアカウントの管理を徹底しなければいけません。近年は多くのクラウドサービスが提供されており、いずれも強固なセキュリティが敷かれていますが、アカウント情報が流出してしまうと、誰でも容易にアクセスできるケースがほとんどです。
定期的にパスワードを変更し、推測されにくいものを使用するのはもちろん、多要素認証を導入することで、セキュリティを大幅に向上できます。また、使用していないアカウントは早急に無効化することも重要です。
セキュリティポリシー策定
組織全体で統一されたセキュリティポリシーを策定・運用することで、情報漏洩リスクを軽減することも大切です。セキュリティポリシーには、アクセス制限やデータ暗号化、端末管理の基準などを明記し、定期的に見直す必要があります。策定したポリシーが現場で確実に守られるように、社員に徹底周知しましょう。
さらに、セキュリティポリシーは、技術の進化や脅威の変化に合わせて柔軟に更新する必要があります。サイバー攻撃の手口や新しい脆弱性に関する情報などを基に、適宜改善を続けることが大事です。
なお、社内のセキュリティポリシーを策定したい企業は、以下のホワイトペーパーをご活用ください。セキュリティポリシーの文章を作成する際のポイントや、例文を紹介しています。
セキュリティに関する社員教育
社員一人一人が情報セキュリティの重要性を理解し、安全にクラウドサービスを利用する意識づくりも重要です。定期的に研修を実施し、最新のサイバー攻撃の手法や有効な対策について学ぶ機会を提供することで、人的ミスによる情報漏洩の可能性を軽減できます。
また、フィッシング詐欺やソーシャルエンジニアリングといった具体的な脅威についても、実際の事例を交えて説明すれば、社員が危険をより身近に感じられるようになるでしょう。加えて、社員自身がセキュリティリスクを検知し、適切に対応できるようにするための訓練も必要です。
例えば、疑わしいメールや不審な挙動を報告する手順を実践的に学ばせることで、組織全体のセキュリティを強化できます。
システムによる監視の強化
監視システムにより、不正アクセスや異常な動きを早期に検知できるようにするのも有効です。24時間365日、リアルタイムでの監視が可能なシステムを導入すれば、異常が発生した際に迅速に対応できるのに加えて、システム管理者の負担も軽減できるでしょう。
また、監視ログの記録を徹底することで、後に発生した問題の原因追及や、再発防止策の検討に役立ちます。監視体制の強化は単に脅威を検知するだけではなく、組織全体のセキュリティを継続的に向上させる基盤の構築にも寄与します。
情報漏洩対策なら「Watchy」の利用も検討しよう
操作ログの管理によりセキュリティを強化するなら、情シスでなくとも簡単に設定・運用できる管理画面が魅力の「Watchy」の利用も検討してみましょう。IT資産管理や操作ログ管理の機能が網羅されており、必要な機能のみを選んで導入できます。
さらに、端末1台から低コストで利用できるので、初めてIT資産管理や操作ログ管理ツールを導入する企業も使い勝手を確認しながらスケールアップが可能です。無料トライアル版もあるので、この機会にぜひ導入をご検討ください。
低コストでセキュリティ対策を始めるなら
- 「セキュリティ対策が求められているが、予算が限られている」
- 「ひとり情シス状態で、管理負担が大きい」
こうしたお悩みを抱える中小企業の方は多くいらっしゃいます。
予算やリソースが限られている企業では、市販のパッケージソフトが高額で、オーバースペックになりがちです。
弊社の「Watchy」は、PC端末の台数や必要な機能に応じて契約内容を調整できるため、コストを抑えながら最適なセキュリティ対策を実現します。
ITの専門知識がなくても簡単に操作できるシンプルな管理画面を備えており、運用負担が少ない点もWatchyの特徴です。
まずは無料で資料をダウンロードしてお確かめください。
Watchy:https://watchy.biz/
運営会社:株式会社スタメン(東証グロース市場4019)
著者情報
Watchy 編集部
従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。
Watchyは、株式会社スタメンが運営する、情報セキュリティマネジメントシステム(ISMS)およびプライバシーマーク(Pマーク)を取得しているクラウドサービスです。東京証券取引所グロース市場上場。
