【「クラウドの設定ミス対策ガイドブック」を公表】
総務省では、クラウドサービス利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するため、クラウドサービスの提供者・利用者双方が設定ミスを起こさないために講ずべき対策や、対策を実施する上でのベストプラクティスについてとりまとめた「クラウドサービス利用・提供における適切な設定のためのガイドライン」を、令和4年10月に策定・公表しています。
今般、クラウドサービスを利用する事業者において、情報の流失のおそれに至る事案が引き続き発生している中で、このガイドラインの活用促進を図るため、ガイドラインの内容をわかりやすく解説した「クラウドの設定ミス対策ガイドブック」を策定・公表しています。
設定ミスの事例としては、デフォルト変更の事例、個人利用の事例、業務委託先のミスの事例が取り上げられています。クラウドサービスが普及し、重要な社会インフラになるとともに、その設定ミスによる情報漏洩等のトラブルが増えているということなので、設定ミス対策を再確認しておくことをお勧めいたします。
【クラウドの設定ミス対策ガイドブックの目的・対象読者・構成】
■本ガイドブックの目的
このガイドブックは、総務省が令和4年10月に公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」(以下「設定ガイドライン」という。)の内容を、わかりやすく解説するために作成したものです。設定ガイドラインをさらに多くの方に活用していただくことにより、クラウドの設定ミスの防止に役立ててもらうことを目的としています。
■対象読者
このガイドブックは、クラウドサービスを利用する企業等を主なターゲットにしています。利用企業等から委託を受けて、クラウドの設定を行う企業も含まれます。
なお、クラウドサービスには、主にSaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)の3種類がありますが、すべてのクラウドサービスの利用者を対象としています。
部門としては、クラウドの設定に責任のある部署を対象としています。これは、いわゆる情報システム部門に限りません。事業部門やスタッフ部門で、個別にクラウドサービスを導入している場合もあるので、そういう部門の方も人も対象に含まれます。
■ガイドブックの構成と使い方
このガイドブックは、本章と設定ミス対策の前提となる考え方、設定ミスの対策の3章構成になっています。
設定ミスの対策については、自社の条件に合うものを選択して実施してください。また、対策の詳細については、ぜひ設定ガイドラインを参照してください。本文に(→Ⅲ.1.1.1)のような番号が出てくるのは、設定ガイドラインの関連する目次の番号を表しています。
このガイドブックは、クラウドサービスを導入する際にも、導入中のクラウドサービスを点検する際にもご活用ください。
なお、設定ガイドラインは、以下のアドレスからダウンロードできます。
https://www.soumu.go.jp/main_content/000843318.pdf
【設定ガイドライン策定の背景】
■クラウドサービスの普及と設定ミスの増加
クラウドサービスが普及し、重要な社会インフラになるとともに、その設定ミスによる情報漏洩等のトラブルが増えています。IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」でも、2024年には「不注意による情報漏洩等の被害」が6位にランクインしています。
■設定ミスのリスク
クラウドの設定ミスによるリスクで代表的なものは、情報漏洩が起きることです。特に、個人情報や機密情報が漏洩するとより深刻な事態になります。設定ミスの事故の報道は情報漏洩に関するものが多いです。
なお、悪意を持った攻撃者による情報の窃取だけでなく、意図せず一般の人に個人情報が公開されることも問題になります。
情報漏洩の他にも、ファイルへのアクセスの設定にミスがあると、ファイルが破壊(削除、改ざん)される可能性があります。また、マルウェアを送り込まれて、感染してしまうことも考えられます。
さらに、管理者のIDやパスワードが漏洩すれば、システムが乗っ取られたり、システムが停止したりするなど、あらゆる脅威の発生が考えられます。
■情報漏洩やファイル破壊が引き起こすもの
設定ミスにより、情報漏洩やファイル破壊、さらにはシステム停止などの事故が起きると、企業の経営にも大きな影響が出る可能性があります。
情報漏洩により、企業の信用が失墜して受注機会を失うかもしれません。被害者から損害賠償を求められたり、破壊されたファイルの復旧に費用がかかって、損失が発生するかもしれません。設定ミスから経営問題にまで発展する可能性があることを理解しておく必要があります。
【設定ミスの事例】
■設定ガイドラインにある事例
設定ガイドラインでは、以下の3つの事例を紹介しています。(→Ⅱ.2.1)
①デフォルト変更の事例
クラウドサービス提供者(SaaS事業者)が、サービスの機能変更を行った際に、ユーザアクセスに関する設定のデフォルト(既定値)のセキュリティレベルが下がってしまい、利用者が設定を行わずに、デフォルトのまま利用したため、機密情報が流出した事例です。
②個人利用の事例
従業員が個人的にクラウドサービスを利用し、自社の業務で扱う機密情報をファイルに保存していた事例で、このファイルが公開設定であったことが外部からの指摘で発覚ました。
③業務委託先のミスの事例
自社のシステムをクラウドに移行する際に、ストレージの設定が「公開」になっていたため、長期間機密情報が公開されていたという事例で、業務委託先による設定ミスでした。
■2023年度の事例
2023年度にも事故が発生しています。その中でも、特に注目すべきものを紹介します。
①取引先の設定ミス - 中小企業も狙われている
これは最も話題になった事例で、大手企業の取引先である子会社でクラウドの設定ミスがあり、大量の個人データが閲覧可能になっていたという事例です。
この事例の教訓として、自社のセキュリティだけでなく、取引先のセキュリティにも留意する必要があることがあげられます。
②協力企業の設定ミス - 専門家でもミスをする
最近では、設定自体を自社ではなく、協力企業に委託して行うことも増えています。この事例は、委託した企業が設定ミスをしたという事例です。
この事例から、専門家であってもミスをすることがあるので、システムによるチェックなどを含めた総合的な対策が必要なことがわかります。
(参考)「クラウドサービス利用・提供における適切な設定のためのガイドライン」
https://www.soumu.go.jp/main_content/000944468.pdf
関連リンク
○「クラウドサービス利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集の結果と「クラウドサービス利用・提供における適切な設定のためのガイドライン」及び「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」の公表(令和4年10月31日)
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00149.html
詳しくは下記参照先をご覧ください。