クラウドサービスにおける情報漏洩被害

クラウドサービスはインターネット環境があればどこからでも利用できる利便性の高さが魅力ですが、「どこからでも」「誰でも」利用できてしまう性質が、サイバー攻撃による情報漏洩被害の増加を招いている現状もあります。

そこで、クラウドサービスにおける情報漏洩被害の現状について詳しく解説します。

情報漏洩被害の増加

サイバー攻撃への対応は国を挙げて行われていますが、攻撃側も常に新たな手口を生み出し続けており、対策が不十分な企業や組織も残っていることから情報漏洩被害は年々増加の一途をたどっているのが現状です。

東京商工リサーチが2012年から調査を続けている「上場企業の個人情報漏えい・紛失事故の件数」は、2021年に調査開始以来最多の574万9,773人分となっています。2021年には120社の上場企業と子会社が個人情報の漏洩や紛失事故を公表しており、事故件数は137件にのぼっています。

個人情報の漏洩や紛失事故が起こった件数は調査期間の2012年から2021年までを累計すると496社に到達しており、日本国内の全ての上場企業（約3,800社）の10%以上になっています。また、これまでに個人情報が漏洩・紛失した可能性がある件数は累計1億1,979万人分であり、日本の人口とほぼ同数の個人情報が流出しているという実態もあります。

上記の調査は上場企業とその子会社に限定されているため、中小企業などの情報漏洩も含めるとさらに被害は拡大するとみられます。

クラウドサービスの情報漏洩事例

前述のように、これまでにも多くの企業や組織が情報漏洩被害に遭っており、年々被害規模は拡大し続けています。それでは、具体的にどのように情報漏洩が起こっているのか、被害事例を見てみましょう。

大手メーカーの事例

ある大手メーカーでは、2021年に大規模なサイバー攻撃を受け、防衛関連の約2万件程度の情報が流出したとみられると公表しています。流出した情報のうち59件は国防の安全保障に影響が出る可能性がある情報だったともいわれ、再発防止のためのセキュリティ基準の見直しを表明しました。

また、同社は2020年11月にも不正アクセスによるサイバー攻撃の被害を報告しており、取引先の8,635口座や取引先名称、住所、電話番号、口座番号などの金融機関口座に関わる情報が流出しています。

この不正アクセスは、同社が2019年に新規導入したクラウドサービスへ不正アクセスが行われたことにより、取引先情報が流出したものであると公表されています。中国にある同社の子会社へ不正アクセスし、第三者が同社従業員のクラウドサービスへのアカウント情報を窃取して個人情報へたどり着いたという経緯でした。

インターネット関連サービス企業の事例

あるインターネット関連サービス企業では、2020年12月にクラウド型営業システムへの不正アクセスを受け、保管されていた個人情報などが最大で148万6,291件流出したと報告しました。原因はクラウド型営業システムのセキュリティ設定不備で、ヒューマンエラーが根本的な要因のセキュリティ事故といえるでしょう。

流出した個人情報の内容は、同社の法人向け資料を取り寄せた企業の名称や住所のほか、事業者向けビジネスローンを申し込んだ法人の住所、口座番号、売上高などの重要情報も含まれています。

社外から同社のクラウド型営業システムへログインが可能な状態になっていたことにより起こった事故であり、設定変更後は不正アクセスは見つかっていないようです。

なぜ情報漏洩が起きるのか

情報漏洩の具体的な事例をご紹介しましたが、なぜ情報漏洩が起こってしまうのでしょうか。ここでは、情報漏洩が起こるいくつかの原因について解説します。

クラウドの設定不備

利用しているクラウドサービスの設定不備で、自社の従業員以外にも容易にログインできるようになっていたり、第三者が共有ファイルをダウンロードできる設定になっていたりすると、情報漏洩被害が起こりやすくなります。

一般的に、多くのクラウドサービスにはセキュリティ機能が搭載されており、ユーザーの設定変更によってある程度情報漏洩を防ぐことが可能です。運用の不備によって情報漏洩が起こる事例は、先述の事例以外にも数多く見られます。

従業員のセキュリティ意識の不足

従業員のセキュリティ意識が不十分だと、社内のデータを軽い気持ちで外部に持ち出してしまい、結果的に第三者が個人情報を目にしてしまう例もあります。

前述のクラウドの設定不備は、不備を突かれて第三者から不正アクセスを受けることで情報漏洩が起こりますが、従業員のセキュリティ意識不足から起こる情報漏洩は内部の従業員が自発的に情報を発信してしまっています。

クラウド環境におけるセキュリティ設定の注意点

クラウドサービスを利用するときは、セキュリティ設定に十分な配慮が必要です。ここでは、クラウド環境におけるセキュリティ設定の注意点をご紹介します。

アクセス権限

クラウドサービスではさまざまな機能やデータを扱うため、ユーザーによって利用できる機能やデータを制限する「アクセス権限」の設定が重要です。誰でも、どこからでも自由に機能やデータを利用できてしまうと、悪意のある第三者が不正アクセスによってデータを窃取したり、社内の従業員が誤って情報漏洩させてしまったりするリスクが高まります。

例えば自社の社員には全てのデータを参照させるが、社外のメンバーにはデータを参照する権限だけを付与する、営業担当者が持ち歩いているスマートフォンやタブレット端末からはデータのダウンロードを禁止する、などのアクセス権限が考えられます。

セキュリティグループポリシー

グループポリシーとは、「Active Directory」と呼ばれるグループに参加しているユーザーに対して、一括でさまざまな設定を適用できる機能のことです。例えばマーケティング部門のグループに対して一律で共有フォルダのアクセス権限を設定するといったイメージです。

セキュリティグループポリシーを利用すると、一人ひとり個別にアクセス権限を設定する必要がないため管理が手軽になるというメリットがあります。もちろん、セキュリティグループポリシーを設定した上で特定の個人にだけ別のアクセス権限を設定する運用も可能です。

セキュリティグループポリシーを正しく設定することにより、情報漏洩被害の防止につながります。

仮想ネットワーク機能の設定

仮想ネットワークとは、「ネットワークを仮想化すること」です。仮想化とは、物理的には存在しないリソースをソフトウェア上で動作させる技術のことであり、仮想ネットワークを実装すると物理サーバーが複数台なくてもネットワークを複数経路に分離できます。

仮想ネットワークによって社内のネットワークを分離することで、不正アクセス被害を受けたとしても被害を該当のネットワークのみにとどめられるため、情報漏洩被害の拡大を防止できるというメリットがあります。根本的に情報漏洩を起こさないことが最も重要ではありますが、起きてしまったときに被害を最小限に食い止めるという観点から、仮想ネットワーク機能の設定は有効です。

クラウドサービス利用時のセキュリティ対策

クラウドサービス利用時には、セキュリティ対策を万全にして情報漏洩被害を防ぐことが大切です。ここでは、クラウドサービス利用時のセキュリティ対策について解説します。

クラウドセキュリティのポイント

クラウドセキュリティを高めるためのポイントは、権限の制限、データ暗号化、継続的な監査の3点です。それぞれのポイントについて詳しく見ていきましょう。

権限の制限

前述のとおり、多くのクラウドサービスではユーザーのアクセス権限を設定できます。権限の制限を適切に行うことが、情報漏洩被害を起こさないためのポイントです。誰でも自由に自社のシステムにログインできる状態は、無用なセキュリティインシデントを起こす原因になります。

営業担当者が外部に持ち出したパソコンを電車に置き忘れてしまい、そのパソコンにロックがかかっていない状態で第三者がネットワークに接続すると、社内のクラウドサービスに接続されて情報を盗み出される可能性があります。加えて、退職した従業員のアカウント情報を残したままにしておくと、退職後にクラウドサービスへログインして顧客情報をはじめとした重要情報を持ち出せてしまいます。

このように権限が制限されていないとさまざまな情報漏洩被害が起こりやすくなるため、アクセス権限は適切に設定し、定期的な見直しを行いましょう。

データ暗号化

送受信するデータが暗号化されていない状態だと、第三者が不正アクセスしたときにデータの内容を簡単に解読できてしまいます。万が一不正アクセスされたときにデータをすぐに解読されないように、暗号化して送受信することが大切です。

利用するクラウドサービスによってはデータの送受信を自動的に暗号化してくれるものもありますが、非対応の場合は暗号化用ソフトウェアなどを独自に導入して対応する必要があります。

継続的な監査

クラウドサービスを利用する際は必ず管理者を立てて、継続的な監査を行うことが大切です。監査が行われていないとセキュリティインシデントが発生したときにすぐに気がつくことができず、情報漏洩被害が拡大してから問題が発覚する場合があるためです。

トラブルが起こったときだけ監査を行うのではなく、定期的に監査することで「常に見られている」という意識が働き、内部の従業員による不正なデータ持ち出しの抑止効果も期待できます。

操作ログが提供されている場合でも、一定期間で自動的に削除されてしまうケースが一般的です。クラウドサービスの多くは操作ログを確認したりエクスポートしたりできるようになっているため、定期的にログを保存しておくことをおすすめします。

CASB

社内のクラウドサービスの利用状況を監視し、より実態に即したセキュリティ対策を実施するためのソリューションを「CASB」といいます。CASBにはセキュリティ対策を強化するためのさまざまな機能が搭載されています。

可視化

CASBの可視化機能では、「誰が」「どのような方法で」「どのようなサービスにアクセスしているか」を視覚的に表示できます。可視化機能を活用すると、ファイル共有サービスに頻繁にデータをアップロードしているユーザーや、会社が推奨していないクラウドサービスを利用しているユーザーを速やかに発見できます。

可視化機能を使って継続的に監視することで、セキュリティインシデントを未然に防ぎ、重大な情報漏洩被害を回避しやすくなります。

データセキュリティ

データセキュリティ機能は、文字どおりデータのセキュリティに関連する機能です。データを暗号化してファイルの安全性を高めたり、情報漏洩や改ざんを素早く検知したりする機能が搭載されています。

情報漏洩や改ざんは起こらないのが一番ではありますが、検知してからできるだけ早い初動対応を行うことで被害の拡大を最小限にとどめられます。検知機能がないとなかなか情報漏洩が起こった事実に気がつかず、被害が拡大してから初動対応を行うことになります。

コンプライアンス

コンプライアンス機能は、企業や組織のポリシーに乗っ取りセキュリティルールを設定し、ルールに即した対応を行うための機能です。

「1時間に〇件のデータ送信を検知したとき」「推奨していないファイル共有サービスにデータがアップロードされたとき」など、ポリシーに合わせてアラートのタイミングを設定できるので、管理者の監査にかかる負担を軽減できます。また、ポリシーに抵触して検知にかかると、自動的にデータ送信を停止することも可能です。

脅威防御

脅威防御とは、クラウドサービスの脅威を自動的に検知しブロックする機能です。高リスクのクラウドサービスを検知するとアクセス制限をかけたり、Webサイトにマルウェアが仕掛けられている可能性があるサイトへのアクセスを遮断したりすることで、情報漏洩被害を未然に防止します。

起こってしまったセキュリティインシデントにできるだけ早く対応することも重要ですが、セキュリティ対策の理想は「被害が起こる前に食い止めること」です。その点で、脅威防御機能は非常に重要な役割を果たします。

Microsoft 365 のセキュリティ対策ができる LANSCOPE セキュリティオーディター

近年ではリモートワークが広まってきていることもあり、Office製品のクラウド版であるMicrosoft 365の利用ユーザーが増えてきています。

Microsoft 365には監査ログ機能が用意されており、セキュリティ対策のためには継続的な監査が必要不可欠です。しかし監査ログを活用した利用状況チェックについて、エムオーテックスが独自で行ったアンケート結果では「監査ログを知らない」「チェックしていない」「見ていない」と答えたユーザーが全体の48.7%にものぼるなど、監査ログのチェックを十分に行っていない企業は未だ多いようです。

Microsoft 365の監査を手軽に行うなら、LANSCOPE セキュリティオーディターがおすすめです。LANSCOPE セキュリティオーディターでは、Microsoft 365と連携してサービスの利用状況をカンタンに把握できます。「Microsoft 365の監査ログは操作が難しくてどのようにログを追えばよいのか分からない」という方でも、LANSCOPE セキュリティオーディターなら直感的な操作が可能です。

LANSCOPE セキュリティオーディターであれば、事前にアラート設定をしておくと、普段使用しているビジネスチャットを通じて、本人と管理者にアラート通知することが可能です。通知のルールは「早朝や深夜にアクセスがあった場合」「社外秘フォルダのファイルが外部に持ち出された場合」など細かく設定可能です。

アラート通知は管理者の他に本人にも通知できるため、抑止にもつながります。

まとめ

クラウドサービスの情報漏洩被害の原因は、サービスのセキュリティ設定不備に原因があるケースが多いといえます。適切なアクセス権限やセキュリティグループポリシーを設定し、安全性の高い運用を心がけましょう。

セキュリティレベルの維持には継続的な監査も重要です。Micorosoft 365の監査にお悩みの方は、連携機能を活用して簡単に監査ログのチェックを行えるLANSCOPE セキュリティオーディターの利用をご検討ください。