広がるクラウドサービスの事故
~2020年度のセキュリティニュースから対策を考える~ セキュリティニュース

2021年4月28日

2020年4月に国内初の緊急事態宣言が出されてから早一年。
2020年は、世界的な新型コロナウイルス感染症(COVID-19)の蔓延を受け、多くの組織はテレワークなどの新しい働き方への積極的な移行を行った一年となりました。

コロナ禍でテレワークの導入が急ごしらえで進むなか、Web会議サービスやVPNなどの本格的な活用がはじまり、それと同時に、テレワークなどのニューノーマルな働き方を狙った攻撃が相次いで報告されるようになりました。

2020年度上期には「テレワークなどの新しい生活様式」を狙った攻撃が増加

毎月掲載している「気になるセキュリティニュース」でも、2020年度上期には「テレワークなどの新しい生活様式」を狙った攻撃や被害のニュースが多く報道されました。

2020年4月~9月掲載 気になるセキュリティニュース
上期タイトルキーワード
4月 テレワーク環境でのセキュリティ対策とは テレワーク
5月 緊急事態宣言解除後のセキュリティ対策は大丈夫?
(JNSAチェックリスト)
テレワーク
緊急事態宣言
新しい生活様式
6月 自動車メーカー サイバー攻撃を受け一時的な出荷停止に テレワーク
ランサムウェア
サイバー攻撃
7月 自動車メーカー取引先にサイバー攻撃、求められるサプライチェーンを含めたセキュリティ対策 サプライチェーン
ランサムウェア
8月 テレワーク Pulse Secure社製VPN機器の脆弱性対策を怠り認証情報流出か テレワーク
Pulse Secure
VPN
9月 ドコモ口座などの電子決済サービスで不正出金相次ぐ 求められるセキュリティ対策 セキュリティ対策
電子決済サービス
不正出金

2020年4月には情報処理推進機構(IPA)からもテレワークに関する注意喚起が出されるなど、2020年に初めてテレワーク制度を導入した組織も多かったのではないでしょうか。

そしてコロナ禍の終息がみえない今、「テレワーク」はもはや新しい生活様式ではなく、私たちの日常の生活様式になりつつあるともいえるでしょう。

このテレワークの広がりとともに、今まで以上に需要が拡大したのが「クラウドサービス」です。
業務に利用するシステムやアプリケーションがオフィスの中でしか使えないようなIT環境ではテレワークに対応できないため、自宅やサテライトオフィスなどから、さまざまな「クラウドサービス」を利用する組織が増加しました。
Zoomなどのビデオ会議や、Slackなどのビジネスチャットといったコミュニケーション型のサービス、給与/財務会計/人事といったバックオフィスにおけるワークフロー型のサービスを新たに導入した組織も多かったのではないでしょうか。

2020年度下期はクラウドサービスの事故の報道が相次ぐ

こうしたなか、2020年度下期には、クラウドサービスを利用する組織での情報管理体制の不備や情報リテラシーの不足、システムの設定漏れなどが原因となり、不正アクセスや個人情報・機密情報を漏えいさせてしまったというニュースが多く報道されました。

2020年10月~2021年3月掲載 気になるセキュリティニュース
下期タイトルキーワード
10月 Windows Serverの脆弱性「Zerologon(CVE-2020-1472)」を悪用した攻撃に強い警戒感、ADサーバ利用企業は早急な対応を Zerologon
Ryuk
脆弱性
11月 企業へのサイバー攻撃、情報流出相次ぐ 不正アクセス
サイバー攻撃
12月 楽天、クラウドサービスの設定ミスにより約148万件の情報漏えいか クラウドサービス
Salesforce

情報漏えい
1月 IPA「情報セキュリティ10大脅威 2021」 テレワークの脅威が初登場 テレワーク
2月 Salesforce社クラウドサービスの「設定不備」問題、楽天やPayPay以外にも情報流出の被害続出か クラウドサービス
Salesforce

情報漏えい
3月 LINEのデータ管理問題、問われるクラウドサービス事業者の管理体制
Microsoft Exchange Server 脆弱性に関する注意喚起
クラウドサービス
LINE
ExchangeServer

クラウドサービスは、テレワークでの利用だけではなく組織がデジタルトランスフォーメーション(DX)に取り組むに当たって非常に有効なサービスですが、クラウドサービスの利用が広がる中、高度・複雑化するサービスの課題も浮き彫りになりつつあります。

Salesforce社のクラウドサービス設定不備の事故報道も

特に12月以降、セールスフォース・ドットコム(Salesforce)社のクラウドサービスのアクセス権などの設定不備の問題では、金融庁や内閣サイバーセキュリティセンター(NISC)からも注意喚起が出され、複数の大手上場企業や約20もの自治体からも不正アクセスや情報漏えいが相次いで報道されています。

このSalesforce社のニュースは、サービスの利用者側で設定を誤れば意図しない情報漏えいにつながる恐れもあることを、世間に広く知らしめる報道となったのではないでしょうか。

コロナ禍のなか、急いでSalesforceなどのクラウドサービスを導入した組織のなかには、ひょっとしたら、いまだ急ごしらえの対策のままとなってしまっている組織もあるかもしれません。
一度目の緊急事態宣言から一年が経過した今、改めて自組織のクラウド環境を確認していただき、各種設定が適切なものになっているか見直していただくことをおすすめします。

クラウドサービスのセキュリティ対策は確認から

クラウドサービスは、その機能の豊富さから設定項目が数多く存在しますが、利用に当たっての各種設定は利用する側のユーザー組織が行う必要があります。またその特性上、知らない間に続々と新機能が追加・変更され、利用するユーザー組織が気づかぬうちにセキュリティ上のリスクを抱えてしまうおそれもあります。

Salesforce社の一件に限らず、先日Trelloで発生した情報漏えい事故のように、クラウドサービスの設定ミスによる情報漏えいは年々増加しています。
クラウドサービスを利用する組織には、同社の設定ミスを他山の石として捉え、利用するクラウドストレージやWebサイトなどのサービスが意図せぬ設定になっていないか、常に意識し、必要に応じて再確認や見直しなどの対応を適時行うことが求められているといえるでしょう。
一方で、組織や目的ごとに異なるクラウドサービスを利用するケースも多く、利用者がクラウドサービスのすべての仕様を理解して設定を最適なものに見直すということは、なかなか難しいのではないでしょうか。

そこで、クラウドサービスの管理設定上の不備に対して攻撃を受けるリスクが存在しないかを、第三者目線、プロの目で確認するという「クラウドセキュリティ診断」という方法もあります。
テレワークが私たちの日常の生活様式になりつつあるなか、今後は今まで以上にクラウドサービスの利用が広がっていくでしょう。
コロナ禍の終息がみえない今、この機会にプロの目から自組織の設定を見直してみるという方法も検討してみてはいかがでしょうか。

最後に

この一年間のニュースを振り返ると、社員一人ひとりの認識不足や自社のセキュリティ対策の甘さがリスクを生み出し、被害につながったニュースが多かったことに気付かされます。

組織がひとたび被害にあってしまうと、情報や金銭の損失だけでなく、社会的信頼まで失うことになります。
昨年は社会や人々の生活・行動がめまぐるしく変化した一年となりましたが、2021年度は組織にとって、それらの変化に迅速かつ柔軟に対応した対策が求められる一年となるのではないでしょうか。

日々巧妙化する脅威に対応すべく、これからも常に最新のセキュリティ動向やニュースを取り入れていきましょう。
この記事が、皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。



京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ