クラウドの設定ミスによる情報漏えいを防ぐ方法とは？漏えい事例やセキュリティガイドラインを紹介

現代のデジタル社会において、クラウドサービスはビジネスや個人にとって欠かせない存在となりました。しかし、利便性の向上と共にクラウドサービスからの情報漏えいが増加している現状もあります。本コラムでは、その中でもクラウドサービスの「設定ミスによる情報漏えい」を取り上げ、その重要性と対策方法について考察します。

クラウドサービスからの情報漏えいの増加

出典：コンピュータウイルス・不正アクセスの届出状況2022年(1月～12月)
【図2-6：不正アクセス原因別件数の推移】（2020～2022年）

2023年2月8日、独立行政法人情報処理推進機構セキュリティセンターから「コンピュータウイルス・不正アクセスの届出状況 2022年（1月～12月）」^※1 という資料が公表されました。この資料によると、2022年の不正アクセス原因別件数の第3位に「設定の不備（セキュリティ上問題のあるデフォルト設定を含む）」が挙げられています。これは前年に引き続いての3位となります。クラウドだけでなく、VPN等の設定ミスも含まれていますが、いずれにせよ設定ミスが情報漏えいのリスクを高めているという事実を示しています。

クラウドサービス設定ミスによる漏えいの事例

クラウドサービスの設定ミスによる情報漏えいの事例をご紹介します。

2023年5月12日、トヨタ自動車株式会社は、関連会社のトヨタコネクティッド株式会社に管理を委託するデータの一部が、クラウド環境の誤設定により公開状態になっていたことを明らかにしました ^※2。外部からアクセス可能な状態にあった期間は2013年11月6日～2023年4月17日の約10年間に渡ります。前述のデータは車載端末IDや車体番号、位置情報など顧客情報約215万件に該当します。なお、トヨタ自動車は外部アクセス可能であったデータに第三者がアクセスしても個人が特定されることはないとしています。また、トヨタコネクティッドは、データ取扱いのルール説明・徹底が不十分だったことが事件発生の原因であるとし、従業員への教育の徹底と共に、クラウド設定を監視するシステムを導入するとしています ^※3。

また、2022年10月には、株式会社JTBが同社の運用するクラウド環境のアクセス権限の誤設定により、個人情報最大11,483人分を含むデータが漏洩したことを公表しています。本事案に関する詳しい内容は右記のコラムをご確認ください。（『JTB、観光事業者の個人情報最大1万件超を漏洩クラウドサービスへのアクセス権限の誤設定により』）

このように、クラウドサービスの設定ミスによって、実際に顧客情報、個人情報などの機密情報が外部に漏えいする危険性が生じています。

「クラウドサービス利用・提供における適切な設定のためのガイドライン」の公開

上記のような設定ミスによる漏えいを防ぐため、2022年10月、総務省から「クラウドサービス利用・提供における適切な設定のためのガイドライン」^※4 が公開されました。このガイドラインは、既存のクラウドサービス利用に関するガイドラインと比較して、設定の不備を抑止・防止することに特化した内容となっています。

ガイドラインでは、クラウドサービス利用者側と提供者側それぞれの立場において実施することが望ましいセキュリティ対策について記載しています。なお、本ガイドラインは設定不備に関するものであるため、利用者側に関しては、設定等を行わないエンドユーザではなく、企業においてサービス全体の動作に関わる設定を行う方を対象としています。

また、クラウドサービスには様々なセキュリティに関する設定項目があるため、本ガイドラインではセキュリティ設定項目を類型化して定義しています。クラウドサービスのシステム動作環境を各レイヤに分け、レイヤ毎に必要な設定項目を対応させた表が下記になります。

出典：クラウドサービス利用・提供における適切な設定のためのガイドライン
【図表Ⅱ.1.2-1 システム動作環境のレイヤモデルと対応する設定項目】

なお、上記の各レイヤとの対応関係について詳しく記載したものが下記の表となります。

出典：クラウドサービス利用・提供における適切な設定のためのガイドライン
【図表Ⅱ.1.2-2 各設定項目とレイヤの対応関係】

クラウドサービスのセキュリティを強化するには提供側と利用者側がクラウドサービスに対する責任を共有する必要があります。この考え方を「責任共有モデル」と呼びます。利用者と提供者はSaaS/PaaS/IaaSそれぞれにおいて自らの責任範囲を理解し、両社の協力の元、適切な設定を行っていく必要があります。クラウドサービス設定不備の抑止・防止についての詳しい対策方法については利用側・提供側共に是非ガイドラインをご確認ください。

SaaS/PaaS/IaaSの設定における責任分界
参考：クラウドサービス利用・提供における適切な設定のためのガイドラインより一部改変

クラウドサービスからのデータ漏えいのリスクを下げるにはDataClasysがおすすめ

クラウドサービスの設定ミスによる情報漏えいは深刻な問題であり、そのリスクを軽減するためには対策が必要です。業界のガイドラインに従い、利用者側、提供者側が共に自社の責任範囲を認識し、協力して情報漏えいを防ぐ必要があります。また、それぞれが積極的なセキュリティ対策を行うことが重要です。

クラウドサービスの利用者は、安全な環境でデータを活用するために、セキュリティ対策に対して常に警戒心を持つ必要があります。前述の責任共有モデルを見ると、データに関してはSaaS/PaaS/IaaSすべてにおいてクラウドサービス利用者の責任範囲に該当することが見て取れます。つまり、データに関しては、どのサービスを利用していても自社の責任として漏洩を食い止めるための設定を正しく行っていく必要があります。具体的には、クラウドへの不正なアクセスを防ぐため、管理者アカウントとユーザアカウントを分離し、管理者アカウントには多要素認証を必須にする等の設定を行う、ユーザアカウントのIPアドレス制限など各種設定を行う、暗号化キーを統合管理サービスで集中管理するなどが例をして挙げられています。

ガイドラインに沿って、クラウド側の設定を確実に行うことが設定不備による漏えいを防ぐ上で非常に重要になります。しかし、これらを意識してもミスは防ぎ切れるものではありません。そこで利用者側で行うことが可能な更なるセキュリティ強化策として、弊社のDataClasysをご紹介します。

DataClasysはファイル自体を暗号化することで、権限を持つユーザ以外のファイル利用を防ぎ、情報漏えいを防止するソリューションです。ローカル上で自動暗号化したファイルをクラウド上にアップロードすることで、仮にクラウドサービスの設定にミスがあったとしても、不正アクセスなどによる万一の漏えいを防ぐことが可能です。

詳しい内容にご興味のある方は是非下記から資料をダウンロード下さい。

機密ファイル保護・管理システム『DataClasys』ファイル暗号化システムのご紹介