連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム

第2回:事例で考えるパブリッククラウドサービス

セキュリティ ファイル共有 メール

前回、第1回目では「会社の管理下にない主なITサービスと、セキュリティ上の課題」と題し、ITサービスとデバイスの中で、ビジネスパーソンにもよく利用されているものと、そのセキュリティ上の課題について取り上げました。

今回、第2回目では、一般的にも、ビジネスにも、浸透しているパブリッククラウドサービスについて取り上げます。


パブリッククラウドサービスとは、オンラインストレージやグループメールなどのように、インターネットにアクセスできる環境があれば、いつでもどこでも保存したファイルにアクセスしたり編集・更新したりすることができるサービスです。

特にビジネスにおいては、業務の効率化に一役買うサービスとして、業種業態関わらず多くのビジネスマンに広く普及しています。

またその一方で、「ユーザーが気づかないうちに、非公開にしていた資料が公開されていた」というリスクも持ち合わせているのも事実です。

今回は、事例をあげて、パブリッククラウドサービスを考えてみます。

パブリッククラウドを利用するビジネスマンのあるある

業務の効率化を考える一人のビジネスマンA氏は、自宅でも仕事ができれば、より時間を有効活用できると考えています。しかし、A氏の会社ではセキュリティが厳しく、会社貸与のPCはもちろん、モバイルデバイスの持ち帰りや、一般的に普及しているストレージサービスを使うことも禁じられています。

A氏が、会社の禁止リストに入っていない、他のストレージサービスがないかと調べていると、新興のクラウドストレージサービスを見つけました。

A氏は、会社には内緒で、その新興ストレージサービスを利用することにします。そして、保存したファイルが他人に見られないよう「非公開」に設定し、新商品の開発に関するファイルなど、クライアントとやりとりする資料を保存して、自宅でも作業をするようになります。

サービスを利用しながら順調に仕事をしていたA氏ですが、あるとき、新商品の開発情報が顧客名と一緒に、ネット上に流出してしまったのです。

「非公開」に設定していたはずのファイルが、なぜ流出したのでしょうか。

小さな設定ミスが大きなトラブルを生む

A氏がよく調べてみると、利用しているストレージサービスに機能変更があり、その時、ファイルの公開設定が、「非公開」から「公開」に自動的に切り変わってしまったようです。

機能変更された時点で気づいていたなら、すぐに設定を「非公開」に戻すことができたのですが、「公開」のままになってしまい、その結果、重要な情報を流出させてしまったのです。

このように、パブリッククラウドサービスの中には、気づかないうちに、設定の状態が、突然変更されることがあるのです。

大きな変更の場合は、メールやプレスリリースなどで告知されることもありますが、見落としてしまうかもしれませんし、無料や安価で提供されるサービスの場合は、告知されず、突然変更されることもごく稀にあります。

また、表示されている単語の解釈の違いが原因となった事例もあります。

例えば、初期の設定が「全てのユーザーに公開」と表示されているとします。ある人は「ファイルを共有するユーザー全て」と理解するかもしれませんし、別の人は「全世界のユーザー」と理解するかもしれません。実際に、設定の文言の誤解釈が原因で、公開してはいけないファイルを公開状態にしていたり、グループ間のやりとりが外部の人にも閲覧可能になっていたりして問題になった事例があります。

これらのほか、利用しているオンラインサービス自体が脆弱な場合もあります。

あるストレージサービスでは「非公開設定となっている情報に、一定の条件下であれば誰でもアクセスできる」という脆弱性が見つかった事例などが、それにあたります。

情報流出を防止するには、セキュリティを強化し、パブリッククラウドサービスの利用を禁止すればいいのか?

現代は、豊富なインターネット回線と、多様なデバイスに囲まれています。

先進するITサービスに囲まれたビジネスマンは、今や時間も場所も選ばず、自由なワークスタイルに変化しようとしています。

そして今や、ビジネスにおいては、インターネットやスマートデバイスの利用は必須。

特に、ファイルを管理するようなパブリッククラウドサービスなどは、保管から印刷、共有から承認までといった機能が充実し、さらには、その殆どがマルチデバイスに対応し、これからの競争社会においては欠かせないものとも言えます。

今後ますます、手軽で便利なパブリッククラウドサービスが登場するでしょう。

これと同時に、社員の利用範囲も知識も広く深くなるはずです。

そんな中、リスクはあっても、利用禁止にできなくなってくるのが、パブリッククラウドサービスとも言えるのではないでしょうか。

前述したパブリッククラウドの情報漏洩のケースの要因は、以下の3つ。

・オンラインサービスの機能変更に伴う基本設定の自動変更

・オンラインサービスが持つ脆弱性

・設定の文言に関する誤解

大きくは、オンラインサービス側の問題と、使う側の問題の2つに区別されますが、つまり、この2つの課題について、きちんと対策が打てるサービスを選定することが、情シスの役割となってきます。

一概に禁止するのではなく、業務に必要な機能が備わっているか否かの確認と、安全なサービスなのか否かを確認し、リスクにおいては、課題ごとに対策を備えることが求められるのです。

ここでは、後者の「安全面での対策」についてまとめてみます。

・認可するサービスと、禁止するサービスのリストアップと、社員への共有

・認可するサービスの仕様、最新情報の確認

・設定方法の詳細説明や、導入時のサポート窓口の確認

・万が一、トラブルが起きた場合の、導入後のサポート体制の確認

・設定方法と最新情報の社員への共有

情シス担当としては、利用価値があるパブリックサービスについては、社員に開放し、危ういと判断したサービスについては禁止リストへ振り分けし、社員へ共有することがミッションとなります。

そして、サービスを利用する上で、設定についての詳細情報と、導入前と導入後のサポート、最新情報はどのように入手できるかなど、常に確認することも重要です。

関連記事

ライター

  • 池田 利夫(いけだ としお)
    IT系、教育系書籍を扱う出版社の代表。
  • 井上 健語(いのうえ けんご)
    コンピュータ系、ビジネス系の記事を主に扱うライター。
  • 宮下 由多加(みやした ゆたか)
    鋭い観察眼と分かりやすい切り口で複雑な内容を紐解くIT系ライター。
  • 成澤 紀美(なりさわ きみ)
    社会保険労務士。人事労務のホームドクターとして活躍中。
  • 池田 秀司(いけだ しゅうじ)
    情報セキュリティに特化した専門サービスを提供し、日々奮闘中。
  • 羽田 一彰(はだ かずあき)
    中小企業に対するマネジメントシステム構築・運用支援が得意。
  • 吉澤 亨史(よしざわこうじ)
    セキュリティ、IoT、ネットワーク関連の執筆を得意とするライター。
  • 柳井 完司(やない かんじ)
    CAD、CGを中心とするIT系記事全般を取材、執筆するライター。
  • 佐賀井 大樹(さがい だいき)
    IT分野の実績が多いコピーライター/コンテンツディレクター。
  • 落合 純平(おちあい じゅんぺい)
    IT製品の紹介ページやコラムなど、様々なWebコンテンツを制作。
  • 本柳 克敏(もとやなぎ かつとし)
    SIer、マーケティング、営業だけでなく業界団体の活動にも携わる。

Facebook