クラウド上の情報漏えいのニュースは絶えない

クラウドサービスで発生した、情報漏えいに関するニュースは後を絶ちません。下記の表は「情報セキュリティ白書」を元にまとめたものです。

1年間に膨大な数の情報漏えいが発生しているとわかるでしょう。一度発生すると被害規模は数千件から数億件と、甚大なものとなります。

発生した年	被害の規模
2021年	数千件
2020年	数千万件
2019年	数億件

クラウドで情報漏えいが起こる4つの原因

クラウドで情報漏えいが起こるのは、おもに下記の4つの原因によります。

• システムの脆弱性を狙ったサイバー攻撃
• アカウント情報を狙ったサイバー攻撃
• 従業員や退職者による内部不正
• 設定ミスなどによる漏えい

原因には、自分たちで対策できるものとできないものがあります。対策できる方法には何があるのか、考えながら読んでみましょう。

（１）システムの脆弱性を狙ったサイバー攻撃

クラウドで情報漏えいがおこる原因のひとつに、システムの脆弱性（セキュリティの弱点）を狙ったサイバー攻撃があります。

脆弱性の多くは、プログラムの設計ミスやコーディングミスなどによるバグ（欠陥）によるものとなります。コーディングとは、プログラミング言語での語彙や文法に従って、コンピュータが作動するコードを書く作業です。

仮に欠陥がないプログラムであっても、ソフトウエアを構築していく段階の工程中で脆弱性が生まれることもあります。

通常は脆弱性が発見されると、修正プログラムやパッチを用意するまで、ある程度の準備期間が必要となります。

しかし最近では「ゼロデイ攻撃」と呼ばれる、修正プログラムより先に、サイバー攻撃を仕掛けられることも増えてきました。

システムの脆弱性が狙われた場合、利用者が防ぐことは難しいでしょう。クラウドサービスの脆弱性（セキュリティの弱点）が狙われて攻撃されるため、利用者の範ちゅうを超えるものとなります。

クラウドを提供するベンダーも、セキュリティ強度を高めるよう努力していますが、100％すべての攻撃を防ぐのは難しいでしょう。

（２）アカウント情報を狙ったサイバー攻撃

IDやパスワードなど、アカウント情報を知られることで情報が漏えいするケースもあります。

たとえばフィッシング攻撃や中間者攻撃などが、アカウント情報を狙った攻撃としてあげられます。

フィッシング攻撃（偽のサイトにログインさせる行為）でID・パスワード情報などのアカウント情報を盗まれると、業務で利用しているクラウドサービスにログインされてしまう可能性があります。

また、複数のクラウドサービスで同じIDとパスワードを使い回していた場合それらすべてにアクセスされ、被害が拡大する恐れがあります。

（３）従業員や退職者による内部不正

内部不正が原因となる情報漏えいもまた、数多く起きています。

情報処理推進機構の「企業における営業秘密管理に関する実態調査2020」では下記のように報告されています。

情報漏えいした経路調査では「誤操作・誤認等」が21.2％。「中途退職者による漏えい」は36.3％となっています。

とくに「中途退職者による漏えい」は、前回調査（2016年）の28.6％よりも約1.26倍増加する結果となりました。

参考：企業における営業秘密管理に関する実態調査2020

情報が漏えいする経路の多くが中途退職者で、内部不正による漏えいの割合は増加傾向にあります。

中途退職者による漏えいが増加している理由として、転職する人が増えたことや誰もが気軽にネットへ接続できる環境もあるでしょう。

社外へ情報を持ち出すことがいかに重大な事件を引き起こすのか、認識していないことも一因と考えられます。在籍する従業員へ向けた秘密情報について研修をおこない、周知させる必要もあるでしょう。

また退職者のアカウントは停止する、従業員ごとに情報の閲覧権限を設定するなどこまめな対策もおこなわねばなりません。

（４）設定ミスなどによる漏えい

勤務時間帯に起こりうるのが「設定ミス」と呼ばれる人為的なエラーです。知らず知らずのうちに間違い、気がついたら取り返しのつかないことになっていることもあるでしょう。

設定ミスによる情報漏えいとは、以下のような状況です。

• 情報の閲覧権限を間違えて設定する
• 送信先を間違える（TO/CC/BCCの設定を間違える）
• 機密情報を誤ってアップロード
• 社内で認められていないソフトを勝手に利用する（シャドーIT）
• 重要書類を誤ってシュレッダーにかける
• 社内用PCやUSBメモリを紛失する

そのほか、社内で使用するサービスに関して徹底的に情報漏えい対策をしていたとしても、企業側で認可していないサービスを従業員が勝手に使ってしまう可能性もあります。

業務を効率的に進めたい一心で、従業員が勝手に未許可のITサービスを使って業務をおこなうシャドーITなどがその一例です。

結果として、企業の知らないところでデータがクラウド上にアップされ情報が流出する一因となることも起こるのです。

ヒューマンエラーや設定ミスは、情報漏えいの原因の中でも防ぐものが難しいものでもあります。

クラウドから情報漏えいした具体的な事例3選

最近起きたニュースより3つ、クラウドから情報漏えいした事例について紹介します。

• アメリカのゲームメーカー
• 世界的規模のSNSサイト
• 国内総合ITベンダー

被害を受けた経緯や状況について、記載しましたので参考にしてください。

（１）2022年9月：アメリカのゲームメーカーでネットワークが不正侵入を受けて情報漏えい

アメリカのゲームメーカーが運用するネットワークで、不正侵入される被害が発生しました。

ログイン方法には多要素認証システムを採用していましたが、これを逆手に取る「プロンプト攻撃」が使用されました。ユーザーが眠る時間帯などを利用して、故意にログインを繰り返し、確認通知を何度もしつこく受信させる手法です。

何度も通知を受けた人が疲れて、うっかり通知をタップしてしまうと、ログインができるようになってしまいます。

上記の事件では開発中の新作ゲームシリーズに関する、大量の画像と動画が流出する騒ぎになりました。

（２）2022年8月：世界的規模のSNSサイトで脆弱性を悪用され個人情報が流出

世界中で利用されるSNSサイトにおいて隙をつかれる形で、個人情報が漏えいする事案が発生しました。

SNS広報によると悪用された脆弱性はすでに修正済みで、影響を受けたとされるユーザーには、直接通知したとのことです。

悪用された脆弱性は、同社で1月に報告されていたものでした。「ゼロデイ攻撃」と呼ばれる、修正されるまでの隙をついたサイバー攻撃がされています。

被害規模について公式から発表されていませんが、およそ40万人以上のアカウントが被害にあったと報道されています。

（３）2022年5月：国内の総合ITベンダーで認証情報を含む利用者データが漏えい

国内総合ITベンダーで、利用者データの漏えいする事案が発生しました。

同社で提供しているクラウドサービスが不正アクセスを受けたものです。同社広報では「一部のロードバランサーの脆弱性が悪用された」と公表しています。

該当する脆弱性は、公表されて間もないもので「不正アクセスを受けるまでに対処が間に合わなかった」としています。ロードバランサーは、サーバーにかかる負荷を分散する装置です。

被害はロードバランサー上にあった顧客証明書データや、通信パケットを盗取された可能性があるとしています。また詳しい被害者数などの公表はされていません。

クラウドから情報漏えいした場合の責任の所在

管理者が心配するものには「情報漏えいした場合の責任の所在」も含まれているかもしれません。

クラウドの多くは、事業者と利用企業の間で責任を分担する「責任共有モデル」を採用しています。

下記の図は、IaaS・SaaS・PaaSにおけるユーザーとクラウドサービスベンダーの責任分界点を示したものです。

責任共有モデルは「契約時に責任を負う範囲を決める」ものとなります。テレワークが進む情勢の中で取り急ぎクラウドを使い、責任の所在があいまいな方もいるかもしれません。

従来のオンプレミス環境下でのセキュリティ対策は、自社を中心に考えればよいものでした。クラウドサービス下では、自社だけでなくクラウド特有のリスクも考えなくてはなりません。

機能や改修なども頻繁におこなわれ、自社でおこなっていたときの対応と全く違っていることもあるでしょう。

オンプレミスとは、システムやインフラに必要なサーバー、ネットワーク機器、ソフトウエアなどを自社で管理するシステムのことです

上記の図は、各クラウドモデルでの一般的な考え方となります。クラウドサービスによっては異なるケースもあるため、ご利用先で確認ください。

クラウド上でできる情報漏えい対策

情報漏えい対策には、ユーザーで対応できない事案がある一方で、セキュリティに関する基本的な知識を知れば防げるものもあります。

この章ではユーザーがクラウド上でもできる、情報漏えい対策について紹介します。

（１）そもそも機密情報をクラウドに上げない

そもそも機密情報自体をクラウドにアップしないという判断も重要になります。

クラウドにアップする必要があるか、それぞれの情報をよく整理した上で必要なものだけアップする方が望ましいです。

基本的にセキュリティに100％の安全はなく、クラウドだから危険というわけでも自社システムだから安全というわけでもありません。

情報それぞれの重要度や使い方にあわせた管理が必要になります。改めて情報を見直してクラウドに上げる必要がないものは、それぞれ適切に管理することをおすすめします。

（２）SSO＋多要素認証を取り入れる

SSO（シングルサインオン）とは、一度のログインで複数のサービスの利用を可能になるシステムです。

SSOを使えば、従業員はクラウドサービスそれぞれのID・パスワードを管理する必要がなくなるため、アカウント情報の漏えいやパスワード使い回しによる被害拡大を防げます。

また多要素認証（SMSや指紋認証）を取り入れることで、たとえSSOのアカウント情報が流出したとしても簡単にはアクセスされなくなります。

詳細は『シングルサインオン（SSO）とは？基本やメリット・デメリットをわかりやすく解説』のページで解説しているため、ぜひお読みください。

（３）データを監視するセキュリティシステムを取り入れる

データを監視するセキュリティシステムを導入するのも有効です。DLPやCASBなどデータやアクセスを監視するセキュリティシステムがあります。

データが大量にダウンロードされたり、海外からアクセスされたりすると、通常と異なる動きに検知して操作をブロックします。

また内部不正が原因となる情報漏えいにも有効なため、セキュリティシステムを積極的に活用するのもいいでしょう。

• DLP（Data Loss Prevention）：機密情報や重要データが、外部へ漏れたり紛失したりすることを防ぐシステム
• CASB（Cloud Access Security Broker）：社員がクラウドを利用して作業をおこなうときに対策するためのシステム。主にクラウドへアクセスする際の監視や制御、データの暗号化をおこなう

まとめ

クラウドが多く利用されるようになり、以前よりも増して情報漏えいに関する事案が多く見られるようになっています。クラウドの普及によって多種多様な働き方ができるようになった弊害ともいえるかもしれません。

情報管理を統括する者にとって、情報漏えいは避けて通れない重要な事案なだけに、頭の痛い思いをされる方もおられるでしょう。

情報漏えいは、さまざまな要因で起こるため、原因を知ってできるところから対策を始めてみましょう。とくに文末で紹介した対策は、自分たちで始められるため、参考にしてみてください。