「社内の関係者以外に知られてはいけないデータをクラウドに保管していたが、設定を間違えて誰でも閲覧できるようになっていた」「間違った相手に共有リンクを送ってしまい、データをダウンロードされてしまった」など、クラウドやサーバー利用時のミスによる情報漏えい事故が起きています。事故を防ぐにはどうしたらよいのでしょうか。
クラウドやサーバーの設定ミスによる情報漏えいが発生する理由
クラウドやサーバーの利用には、適切な設定とアクセス制限がとても重要になります。しかし、実際には、次のような原因から誤って設定し、運用されてしまうことがあります。
- 専門知識の不足:
専門知識を持たない者に作業を任せることで、適切な設定がされない場合があります。例えば、アクセス制限を正しく設けなかったり、暗号化を忘れてしまったり、あるいは、それらの必要性の認識自体が不足しているケースがあります。 - 操作ミス:
設定変更操作の際に、誤った操作や見落としによって、適切な設定がされないことがあります。 - 設定変更時の確認不足:
試験環境から本稼働へと移行する際や、権限・ユーザーなどの追加・削除実施時などに、確認不足から、誤った設定が適用されてしまうことがあります。 - 自動化ツールの誤使用:
設定を簡略化するために作業の自動化ツールを使用している場合、誤った設定を生成したことに気付かずに、そのまま運用されてしまうことがあります。 - コミュニケーション不足:
設定に関する手順や変更内容が担当部署や組織内で共有されていない場合、想定外の問題が発生することがあります。
設定ミスを防止するための対策
クラウドやサーバーの設定ミスによる情報漏えいを防止するためには、次のような対策を実施することが有効と言われています。
A) 教育とトレーニングの実施
ITの専門知識がなくても、基本的なセキュリティ対策について社員に教育することで、設定ミスのリスクを軽減できます。例えば、アクセス制限の重要性や強力なパスワードの作成方法などを学ぶ機会を設けます。
B) 設定実施・変更時のチェック体制の強化
設定を実施または変更する際に、複数人で確認する、上長の確認を必須とする、などのプロセスを導入することで、誤りを減らすことができます。
C) 自動化ツールの利用と管理
自動化ツールやパッチを使用する場合、その設定を事前に十分テストし、管理者が適切に監督することで、ミスのリスクを抑えます。
D) セキュリティ専任チームや管理責任者の設置
クラウドやサーバーの管理を専門に行うチームや専任の責任者を設置、または採用することで、専門的な知識を活用した安全な運用が可能になります。
E) ログの定期的な監視と監査実施
設定や操作ログ、クラウドやサーバーへのアクセスログを常に記録し、定期的に確認することで、設定ミスやトラブル発生を早期に発見し修正できます。
F) 最新のセキュリティ情報の収集
クラウドやサーバーについて、およびサイバー攻撃や実際に起きた情報漏えい事件事故に関する最新の情報を定期的に収集し、システムの設定を定期的に見直すことが重要です。
定期的な設定確認・必要な設定の追加や変更の実施
クラウドやサーバーは導入して終わり、ではなく、利用し続ける限り設定の見直しが不可欠です。特に従業員の退職や移動、権限の変更がある場合、または利用するクラウドサービスやサーバーを別のものに移行する場合などには「抜け・漏れ」がないように慎重に設定・確認する必要があります。
設定の見直し、確認する項目には次のようなものがあります。
| アクセス制御の厳密な設定 | ユーザーがアクセスできる情報を必要最低限に制限します。また、特権ユーザーに対するアクセス権限を定期的に見直し、不要な権限は削除します。 |
| 暗号化の導入 | クラウドやサーバー上に保存されているデータが適切に暗号化されていることを確認します。暗号化されていれば、仮にデータが漏えいしても中身の情報を知られるリスクを低減できます。 また、通信経路が暗号化されていない場合、暗号化を検討します。 |
| 多要素認証の導入 | ユーザーの認証にパスワードのみを設定している場合、パスワードに加えて生体認証や、認証アプリ・ハードウェアトークン・SMSなどを利用した多要素認証を導入することで不正アクセスリスクを低減できます。 |
| セキュリティパッチの適用 | サーバーやクラウドサービスを最新の状態に保つことで、既知の脆弱性を悪用されるリスクを軽減します。 |
| 設定のテンプレート化 | 作業者の知識や技量に左右されないよう、設定の標準化を行い、設定ミスの発生を防ぎます。テンプレート化された設定は、事前にテストされているので安全性が高まります。 |
| バックアップの実施 | 情報漏えいが発生しても業務を継続できるように、データのバックアップを定期的に行います。バックアップはオフライン環境や異なるネットワーク上にも保管し、ランサムウェア対策を講じます。また、バックアップデータも適切に暗号化します。 |
これらについて、定期的に確認し、必要であれば見直し・変更を実施することで、情報漏えいの発生を防ぐことが期待できます。
まとめ
情報漏えいの防止には、技術的な対策だけでなく、組織全体での取り組みが欠かせません。社員一人ひとりが基本的なセキュリティ知識を持つことや、確認体制を強化することによって、設定ミスのリスクを減らし、安心して業務を遂行できる環境を作ることができます。
もちろん、管理担当チームや管理責任者任せにするのではなく、クラウドやサーバーを利用するすべての人が自分事としてリスクを認識し、注意を払って適切に利用することが何よりも重要になります。
