ファイル転送サービスで発生したセキュリティインシデントから学ぶ Netskope(クラウドセキュリティ)のススメ 製品・サービスの活用方法

2019年3月13日

1. はじめに

2019年1月、ファイル転送サービス(クラウドサービス)において、お客様情報のデータが外部に漏えいしたことが報道されました。クラウドサービスは、手軽に低コストでサービスを受けられるという大きなメリットがありますが、セキュリティ面でのリスクと責任が発生します。これは、クラウドサービスのセキュリティレベルがサービス提供側に依存するためです。いくら自社のセキュリティ対策を実施しても、ルール違反や情報漏えいなどのリスクを減らすことはできません。しかし、多くの利用者はこのことを認識しておらず、有名だから、急いでいるからなどといった理由だけでクラウドサービスを利用する傾向が有ると考えます。

その実例が今回のセキュリティインシデントにおいて発生している可能性があり、業種・規模にかかわらず、すべての企業に差し迫っている課題であると考えます。本コラムでは、改めて「クラウドセキュリティ」の観点から、事例を確認しつつ、解決策について言及します。

2. セキュリティインシデント事例を基にしたクラウドサービス利用企業の課題

本セキュリティインシデントは、ファイル転送サービス(クラウドサービス)において、不正アクセスを受け、利用者のメールアドレスとパスワードなど、約480万件の情報が漏えいしたことが判明しています。ニュース記事などを確認すると、クラウドサービス提供企業視点におけるパスワードの暗号化やハッシュ化がされていなかったことが問題となっています。自社では該当のサービスを使っていない、またはパスワードの変更や事実確認を行ったからもう大丈夫だと思っていませんか?

今回、情報漏えいで話題となったクラウドサービスは、流出した個人情報の数より多数の利用者が存在していることが伺えることから、企業内でも利用者がいるかもしれません。クラウドサービスへのアクセスログを取得していない場合、影響範囲が特定できるでしょうか。社内端末での利用者が存在するか、利用者がいた場合にはどのような操作をしているかなど把握できない状況ではないかと考えます。

これらのセキュリティインシデント事例を基に、私が考えるクラウドセキュリティの課題を挙げます。

【クラウドサービス利用企業の課題】

  • (1)企業が把握していないところで、クラウドサービスを利用している可能性がある
  • (2)企業ネットワークの外からクラウドサービスにアクセスが可能
  • (3)クラウドサービスの評価をせずに利用を開始

3. クラウドサービス利用における課題の解決策

本セキュリティインシデントから、クラウドサービスを利用する企業の課題を踏まえ、Netskopeによる解決策をご紹介します。

【Netskopeの紹介】

(1)企業が把握していないところで、クラウドサービスを利用している可能性がある

社員がファイル転送サービスを利用していないと言い切れますか?

ルール策定をして、社員の倫理観を信用するという方針になっているのではないでしょうか。時が経つにつれ、策定されたルールは形骸化していくものです。クラウドサービスの利用がシステム的に把握・制御されていなければ、社員はセキュリティに問題があると思っていても利便性を追求し、勝手にクラウドサービスを利用するかもしれません。これは、クラウドサービスを利用することのハードルが低いことに起因するセキュリティ意識の欠如によるものと考えます。

Netskopeで利用状況を可視化することにより、各クラウドサービスの利用状況を確認することができます。また、可視化された情報を定期的に確認することで”知らない”クラウドサービスの利用を抑制・制限すること、また利用を追跡することが可能となります。社員のクラウドサービスの利用状況を管理していかなくてはいけないと考えます。

クラウドの利用状況サンプル

(2)企業ネットワークの外からクラウドサービスにアクセスが可能

働き方改革などの社会背景から、社員は社内だけではなく、社外で仕事をする機会も増えてきているのではないでしょうか。企業内ネットワークでは、ファイアウォールやURLフィルタなどの製品を使い、アクセス制御されている場合、社外でも同等のアクセス制御を期待することは困難です。同等の制御を実現するためにはチェックポイントとなる共通する通信先が必要となります。

Netskopeでは端末にクライアントソフトを導入することにより、社外でも同等のアクセス制御を実現します。社外においてもクラウドサービスの利用状況が把握でき、情報を不用意にクラウドサービスへアップロードすることを制御することもできます。また、会社に監視されているという意識を社員に持たせることができ、社外での端末利用について安易な行動を抑制することが期待できます。

(3)クラウドサービスの評価をせずに利用を開始

もしルールを策定してクラウドサービスの利用可否を決めている場合、どの様な指標を用いているのでしょうか。利用したいという部門の意思や申請のみで、社員がクラウドサービスを利用し始めることが想定されます。企業として、一定の指標を基に利用を統制することが必要ではないでしょうか。

Netskopeでは、クラウドサービスを様々な観点から評価しており、その評価値が設定されています。企業は、Netskopeの評価値を基にクラウドサービスの利用に関わるルール策定を行い、社員の無秩序なクラウドサービスの利用を制限していくことが可能です。

クラウドサービスごとの評価値

評価基準評価概要具体例
Certifications and Standards
(認定と基準)
SaaSアプリ自体や提供するデータセンターが取得している認定基準
  • アプリはどのような認定を受けているか(PCIDSS、TRUSTe、HIPAA等)
  • データセンターはどのような認定を受けているか
    • など
Data Protection
(データ保護)
SaaSアプリが提供する機能がデータ保護基準を満たしているか
  • 暗号化強度が低い暗号スイートをサポートしていないか
  • データはテナント単位で分離されているか
  • アプリがファイル共有を許可しているか
    • など
Access Control
(アクセス制御)
SaaSアプリが提供するアクセス制御機能を評価
  • IPフィルタリングが可能か
  • SSO/AD連携(SAML、Oauth、OpenID等)やマルチファクタ認証が可能か
  • 対応するデバイスタイプ(iOS、Android、Windows Mobile等)
    • など
Auditability
(監査性)
SaaSアプリ利用者のログ取得ができているかを評価
  • 管理者の監査ログを提供しているか
  • ユーザの監査ログを提供しているか
  • データアクセスの監査ログを提供しているか
    • など
Disaster Recovery and Business Continuity
(災害復旧と事業継続性)
SaaSアプリ提供者がユーザの事業継続に対しどのような対応を提供しているかを評価
  • メインデータとは別の場所に顧客データのバックアップがあるか
  • ステータス/変更/アップグレードを利用者に通知しているか
  • 地理的に分散したデータセンターを利用してサービス提供しているか
  • 災害復旧サービスを提供しているか
    • など
Legal and Privacy
(法律とプライバシー)
SaaSアプリのデータやプライバシー情報の扱いを評価
  • 解約した際にデータが削除されるか またそれはいつ削除されるか
  • アプリが連絡先/スケジュール/メッセージにアクセスするか
  • ユーザの個人情報を第三者と共有していないか
    • など
Vulnerabilities and Exploits
(脆弱性および悪用)
SaaSアプリの脆弱性に対する評価
  • 脆弱性(Heartbleed, FREAK等)の有無
  • 過去1年間の情報漏えいの有無

クラウドサービスの評価指標

4. まとめ

本コラムは、セキュリティインシデントの事例から、クラウドサービス提供企業の視点ではなく、クラウドサービス利用企業の視点でクラウドセキュリティを見つめ直しました。

社員のついうっかりの行動で、不用意に機密情報をアップロードできる環境になっていないでしょうか。社外でも社内と同等に、クラウドサービスの利用状況を把握し、制御していく必要があります。 企業において多数のクラウドサービスをより安全に利用するためには、Netskopeは非常に有効であると考えます。Netskopeの評価指標を基に、企業としてルールを策定し、システム的な制御を整えていくことが可能です。

そこで、現状のクラウドサービスの利用状況を知らなければ、Netskopeの有効性は判断できないと思います。まずは、現状の可視化からということで、以下のキャンペーンをご用意しておりますので、あわせてご確認いただければと思います。

京セラコミュニケーションシステム株式会社
SecureOWLCenter インテグレーション課
Netskope担当チーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ