Trello(クラウドサービス)の公開設定問題にNetskope(SASE/CASB)を活用!
~CSIRT対応、一方的な注意喚起で終わってませんか?~ 製品・サービスの活用方法

2021年4月28日

はじめに

本コラムは、日々セキュリティ問題と戦う情報システム部門やCSIRTの方々に向けた内容となります。

KCCS-CSIRTではTrello(クラウドサービス)の設定不備の事案に関して、Netskope(SASE/CASB)を活用した対応を行っており、その内容が今後の参考になればと思い執筆します。

※ CSIRTとは
セキュリティインシデント発生時の対応やインシデントの予防・セキュリティ品質の向上などを包括的に行い、組織内の情報セキュリティ問題を専門に扱うチームのことです。
京セラコミュニケーションシステム株式会社(KCCS)では、このチームをKCCS-CSIRTと命名し、活動しています。

コロナ禍によるテレワークの急速な推進により、インターネットにさえつながればアクセス可能となるクラウドサービスを導入する企業が増加しています。
一方、クラウドサービスの設定不備に起因するセキュリティ事故の発生が後をたちません。
クラウドサービスの外部公開や権限の設定は利用者自身が適切に行う必要がありますが、十分な対策が取れていない、急な仕様変更に追従できていないのが現状です。

年月クラウドサービスの設定不備の内容例
2020年4月 某大学での新入生向けガイダンスをZoomにて実施していたところ、第三者に侵入されアダルト画像や猥褻なフランス語の文章が表示される被害が発生
2020年12月 某電気機器メーカーにて全社的に使用していたMicrosoft 365に不正アクセスされ、取引先情報8,635件が流出
2021年1月 Salesforce において利用者側の設定不備により意図しない情報が外部から参照される問題が発生

クラウド型プロジェクト管理ツール「Trello」での意図しない情報公開

直近では、2021年4月にプロジェクト管理ツール「Trello」で多数の個人情報や機密情報が閲覧可能であることが話題となりました。
公開されていた情報にはパスワードやクレジットカード等の情報も含まれていたため、内閣サイバーセキュリティセンター(NISC)からも注意喚起が実施され、注目を浴びた事案であると考えます。
Trelloは、タスク管理としての利便性が高いと評判で、同カテゴリのツールでは利用者が多く、様々な企業に導入されている模様です。

Trello導入後の運用ルールを適切に定めずに運用を開始すると、今回のように意図しない形で企業が取り扱う機密情報の漏えいにつながる可能性があります。

それでは、今回の事故が具体的にどのような内容であったのか見ていきましょう。

このTrelloですが、本来であれば取り扱う情報の公開設定は、限定したメンバーだけが見られるように、ワークスペースにおいてデフォルトで「非公開」または「チームのみに公開」となっています。
しかし、ITリテラシーの低いユーザーが、Trelloの「公開」状態は全世界の誰でも見れる状態ではなく、社内のメンバーのみに「公開」する、という設定と勘違いしてしまった可能性が考えられます。

【Trelloの公開設定画面の例】

今回のセキュリティ事故があった某ソフトウェア開発企業においては、Trelloは正式に採用しているツールではなく、担当者が個人的に業務利用していたと言われています。
たとえ個人で使用したものであっても、情報漏えいが起きた場合は企業としての責任が問われ、セキュリティインシデントとして扱われます。
また、個人ではなくとも、部門毎で使い勝手の良いクラウドサービスを、独自で導入してしまうケースも考えられます。
会社としてのポリシーが定められていない場合に、セキュリティに関する考慮が欠けた状態で利用し、今回のような事故に発展していくことが想定されます。

KCCS-CSIRTのクラウドサービスにおける設定不備の対応例

情報システム部門やCSIRTの方は、このような事案の情報を入手された場合、どの様に対応されていますか?

社内の全員に注意喚起を出すというのが一般的かと思いますが、自社に影響があったのか?やそもそも自社で使ってるのか?などが不明瞭な状況で、対応が終了していることと思います。
KCCS-CSIRTでは、注意喚起に留まらず、自社影響まで把握し調査を行っています。

では、Trello対応の内容を一例として、実際の対応方法をご紹介します。

① 初動対応時のNetskopeでの利用者特定
働き方の変化から、京セラコミュニケーションシステム(KCCS)では在宅勤務が一般的となっており、社内のネットワーク機器でのTrelloの利用者を特定することは困難な環境となっています。
そこで、エンドポイントに導入しているNetskopeを活用しています。

対象のサービス名で検索すると、Trelloの利用者数が180名であることがわかりました。

<Netskope:Trello利用者数の確認画面>

利用者の一覧を表示させるとメールアドレスが確認できますので、この方々に連絡すれば状況確認が可能となります。
この利用者の一覧を表示させるのに、1分もかからず表示することができました。
早急な対応が望まれるCSIRTには、ピッタリのツールであると考えます。

<Netskope:利用ユーザーの一覧画面>

私を含め、KCCS-CSIRTのメンバーは、会社として推奨されているわけでもないTrelloの利用者が意外に多かったことに驚きを隠せませんでした。

貴社でも、意外と利用されているのではないでしょうか?

② 利用者にクラウドサービスの設定確認を実施
利用者を特定できましたので、対象者に絞って連絡を行います。
KCCS-CSIRTは、ユーザーサポートの業務を担っているサポートセンターのメンバーも属しており、利用者の目線でわかりやすい文面を作成し、対応を進めます。

<案内時のサンプル文面>

③ 対応状況を管理する「追っかけ運用」
KCCS-CSIRTでは、対応状況の管理や結果報告を踏まえた管理の運用を「追っかけ運用」と呼んでいます。
全社員の回答をもらうのは現実的ではないので、対象者を絞り込んだ上で、対応状況を管理していきます。

クラウドサービスの利用における課題として、利用者がサービスの仕様に詳しくない、または、利用者の交代により設定内容を把握していないなどのケースがあります。
そのため、サポートセンターが利用者や管理者に状況確認を行う際には、利用状況をヒアリングしたうえで、正しい設定についてきめ細やかなフォローをおこないます。

このようにNetskopeをつかうと、簡単に利用者の特定ができ、利用者の連絡先も判明しますので、効率的な「追っかけ運用」が可能となります。
これまでですと、全社員に注意喚起をすることが関の山かと思いますが、Netskopeとサポートセンターの連携で「追っかけ運用」を実現しています。

CSIRT運用におけるポイント

私見となりますが、これらを踏まえて、CSIRT運用におけるポイントを記載します。

① シャドーITを把握
クラウドサービスは安易に利用を開始できるため、管理が行き届かなくなってきています。
今回の事案を教訓としても、利用者が多数判明したことから、部門毎や案件毎で独自にクラウドサービスを利用しており、サービス名だけの先入観で使っていないことを決めつけるのは危険な状況になってきています。
そのため、会社のクラウドサービスの利用状況を把握するというのは大変重要になってきています。

② 社内だけでなく社外(在宅等)でも同等のクラウドサービスの利用を把握
新たな働き方では、社外(在宅等)からクラウドサービスを利用することが当たり前になってきています。
そのため、これまで主流であった社内のネットワーク機器で把握できない状況となっており、社外(在宅等)にも目を向けた対応策も検討していく必要があります。
エンドポイントに導入することができるエージェント型のSASEやCASBであるNetskopeは、変化した働き方にマッチしており、社外(在宅等)においてもクラウド利用を把握することができます。

新しい働き方に対する一つの方法として、CSIRTは社内ネットワークに頼らない対応策も検討していかないといけない状況です。

③ CSIRTの一員であるサポートセンターの「追っかけ運用」
本事案では、Netskope を活用して、利用者を特定しました。
CSIRTは注意喚起の投げっぱなしではなく、その後の対応状況を管理していく「追っかけ運用」が重要であると考えます。

「追っかけ運用」ですが、社内において、脆弱性や設定内容など、どの部門がどの程度の対応状況であるのかを可視化することで、会社としてのセキュリティレベルや対処できない場合のリスクを把握しています。
この情報を管理することで、もしセキュリティインシデントが発生した場合に、被害拡大など、影響範囲の特定に役立つ運用であると考えており、CSRITの平時の活動として組み込んでいます。

また、サポートセンターとの連携によって、ユーザーに寄り添ったフォローが実現され、セキュリティに関する啓蒙活動となり、社員一人ひとりが当事者意識をもった行動に変化していき、社員のセキュリティ意識向上にもつながっていくと考えます。

まとめ

クラウドサービスの意図しない情報公開を例にして、Netskopeを活用したKCCS-CSIRTの活動をご紹介しました。
一方的な注意喚起から脱却し、「追っかけ運用」を適切に組み合わせていくことで、社員のセキュリティ意識の改善につなげています。
CSIRTの平時の活動を通して、社員を含めた訓練に準ずる「追っかけ運用」を進めていくことで、会社としてのセキュリティレベルが熟成されていき、インシデント発生時には円滑な対応を進められる環境を確立していくと考えます。

なお、Netskopeの機能としては、クラウドサービスの利用状況の把握に留まらず、クラウドサービス利用の制御などもできますので、サポートセンターによる注意喚起以外の使い方もできます。

Netskopeの導入をご検討いただいているお客様に対して、京セラコミュニケーションシステム(KCCS)ではトライアル環境の提供なども行っています。
トライアル時の可視化サービスとして「意図していないクラウドサービスが社内で活用されていないか?」等を調査するレポーティングサービスもあわせて提供しております。
お気軽にお問い合わせください。

最後に、KCCS-CSIRTの活動で、参考になりそうな情報がございましたら、引き続き、執筆していきたいと思います。

関連サービス/ソリューション
著者プロフィール
西井 晃

2012年、京セラコミュニケーションシステム 入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。
現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。
KCCS-CSIRTの活動に参加し、世界平和を目指す。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ