クラウドサービスでの情報漏洩を防ぐには？流出する原因と対策

そもそもクラウドって何？

そもそもクラウドとは一体何でしょうか？クラウドとは「クラウドコンピューティング」を略した言葉です。

クラウドの意味は「（空に浮かぶ）雲」のことです。

簡単にいうと、クラウドとは「インターネット環境（クラウド環境）」のことです。

クラウドコンピューティングとは？

クラウドコンピューティングとは一体どんなものでしょうか？クラウドコンピューティングには、

次の2つの意味があります。

①インターネットを利用する

➁データを外部に置く

クラウドコンピューティングを一言でいうと「インターネット環境を利用して、外部にあるデータを使うこと」をいいます。

クラウドコンピューティングのイメージ

クラウドコンピューティングを使うイメージというと、「パソコンなどから閲覧して、ネットワークを経由した先にあるクラウドストレージ（サーバー、ストレージ）に存在しているデータなどを利用する」というものでしょう。

クラウドストレージとは、データなどが保存できる箱（データベース）のことです。

クラウドストレージには、データ以外にもソフトウェア、アプリケーション、フォーマット、プラットフォームなどが保存されます。

クラウドサービスにおけるセキュリティ対策

クラウドサービスにおけるセキュリティ対策は、情報漏洩を防ぐための非常に重要です。

主にデータの暗号化、強固なユーザー認証、アクセス制御、定期的なセキュリティ監査が必要となります。

ここで3つの観点から、情報の保護と安全性を向上させる方法を簡単にご紹介します。

クラウドコンピューティング環境の保護と安全性を高める

クラウド環境での安全性を高めるためには、クラウドプロバイダーが提供するセキュリティ機能を積極的に活用することが大切です。

これには、ファイアウォールや侵入検知システム（IDS）、侵入防止システム（IPS）などのネットワークセキュリティ機能が含まれます。

さらに、システムやアプリケーションの脆弱性を自動的に検出し、修正する機能などもあります。

これらの機能をうまく組み合わせることで、システムの安全性を向上させることができるのです。

通信データを暗号化する

通信データを暗号化するとは具体的には「SSL化」することです。

SSLとは「Secure Sockets Layer」のことで、インターネット上の通信を暗号化・複合化する技術のことです。もし、通信が「SSL化」されてないと、クラウドコンピューティング環境は、悪意のある第3者に傍受・改ざんされるリスクがあります。「SSL化」することで、クラウドコンピューティング環境を守ることができます。

ここでいうクラウドコンピューティング環境とは、パソコンからインターネットを経由してクラウドストレージまでの一連の通信環境のことをいいます。

クラウドで実行されるアプリケーションの保護・安全性を高める

クラウド上で実行されるアプリケーションの保護と安全性を高めるためには、アプリケーションの設計段階からセキュリティを意識することが大切です。

その際には、セキュアコーディングを取り入れることや、コードの定期的なレビューや脆弱性スキャンを行うことが重要です。

また、アプリケーションの動作を監視して異常を検知するセキュリティ情報イベント管理（SIEM）システムの活用も検討してみるとよいでしょう。

これらの対策をしっかりと講じることで、アプリケーションのセキュリティを強化することが可能です。

セキュアなアプリケーションを構築する

セキュアなアプリケーションを構築するとは、具体的には「Web Application Firewallの導入」です。

Web Application Firewallを導入することで、アプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策ができます。

クラウドに保存されているデータの保護・安全性を高める

クラウドに保存されているデータの保護と安全性を高めるためには、いくつか方法があります。

まずはデータの暗号化を行うことで、情報が安全に保持されます。

そして、アクセス制御を厳格に実施し、認証の手順をしっかりと設けることで不正なアクセスを防止します。

定期的なバックアップを取ることも大切で、データの損失を防ぐことができます。

これらの対策をデータのライフサイクル全体にわたって適用することにより、データが安心して保護され、情報漏洩のリスクが軽減されます。

強固なユーザー認証の導入

強固なユーザ認証の導入とは、具体的には「ワンタイムパスワードの導入」などです。

ワンタイムパスワードを導入すると、パスワードの期限が短くなるほど、かなり厳格なアクセス制限をすることが可能になります。

そうすることで、クラウドに保存されているデータの保護・安全性を高めることができます。

クラウドサービスで情報漏洩が起こると、どうなる？

情報漏洩が起きるのは良くないことであるとい認識は誰にでもあるでしょう。ただ、具体的にどんな悪影響が出るかまで把握できている方は少ないかもしれません。

もし、利用しているクラウドサービスから企業が取得した個人情報などが漏洩した場合、大きく次の3つの被害が考えられます。

信用の失墜

情報漏洩を起こした企業は、世間からの信用を失ってしまいます。

次でご紹介するような、漏洩した情報を悪用したサイバー攻撃などで、直接的な金銭被害が出なかったとしても、情報セキュリティ体制の甘さなどが露呈することで、企業の信頼性は低下してしまいます。

これにより、その企業のブランドや商品の買い控えが起きたり、株価が下落したりする可能性もあります。

不正利用

漏洩した個人情報（アカウント情報）を悪用して、別のクラウドサービスなどへ不正ログインされ、なりすましによる不正利用が行われる可能性があります。

たとえば、不正ログインされたサービスにクレジットカードなどが登録してあれば、不正な購入や送金が行われる恐れもあります。

別のサイバー攻撃の踏み台にされる

前項の「不正利用」と同様に、漏洩したアカウント情報を悪用した不正ログインによって、Webサイトの改ざんやトラベル詐欺など、別のサイバー攻撃の踏み台にされるリスクもあります。

たとえば、CMSのアカウント情報と同じID/パスワードを使いまわしていた場合、なりすましで該当のCMSにログインし、正規のユーザーとしてWebサイトにログインしてマルウェアを仕込まれる恐れもあります。

すると、そのWebサイトを閲覧したユーザーにまで被害が広がる可能性があります。

クラウドサービスで情報漏洩が起こる原因

では、クラウドサービスで起こる情報漏洩の原因となることは何でしょうか？

主な原因として「サイバー攻撃」と「設定ミス」の2点が挙げられます。

サイバー攻撃

外部からの標的型攻撃や脆弱性を突いた不正アクセス、フィッシング詐欺など、さまざまなサイバー攻撃が報告されています。

こうしたサイバー攻撃により、クラウドサービスのアカウント情報を窃取されると、不正アクセスによって情報が漏洩し、上記のような被害につながってしまいます。

設定ミス

クラウドサービスでは、ユーザー側で設定を変更できる項目があります。基本的に、初期設定ではセキュリティ面で安全な設定になっていますが、勘違いや操作ミスにより、意図しない変更をしてしまうことで、サイバー攻撃を受けやすくなることもあります。

たとえば、本来は閉じていなければならないポートを開放してしまったり、閲覧や編集を不可としておくべきところを公開や編集可能な設定にしてしまったりということが挙げられます。

クラウドサービスにおける情報漏洩の事例（2020～2023年）

トヨタ自動車がクラウド環境誤設定により215万人分のクルマの位置情報、漏えいの可能性

トヨタ自動車は、同社のテレマティクスサービスに契約したユーザーのうち、215万人分の位置情報・時刻が外部から閲覧された可能性があると公表しました。

原因は、データ管理を委託した子会社がクラウド環境の設定を誤ってしまったためであり、その状態が約10年間も続いていました。

同日には、法人向けサービスで収集したドライブレコーダーの映像も外部から閲覧された可能性があるとも発表されました。

問題が判明した後、トヨタは外部からのアクセスを遮断し、全てのクラウド環境を含めて調査を進めています。

トヨタは、主な原因として「データ取扱いのルール説明・徹底が不十分だったことなど」を挙げ、従業員教育の徹底やクラウド設定監査システムの導入など、再発防止に向けた対策を講じると述べています。

参照：クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト

フリマアプリ「SNKRDUNK」が不正アクセスで最大約275万件の個人情報が漏えいした可能性

株式会社SODAが運営するフリマアプリ「SNKRDUNK」で不正アクセスが発生し、最大275万3,400件の顧客情報が漏洩した可能性があるとの発表がありました。

漏洩の可能性がある情報は、SNKRDUNKの会員登録をした顧客の生年月日、パスワード、メールアドレスで、一部の顧客については氏名、住所、口座情報も含まれるかもしれません。

ただし、漏洩した情報の悪用については報告されていないとのことです。

SODAは情報漏洩が発生した顧客に個別に連絡を行い、また警察や個人情報保護委員会への報告も済ませています。さらに、この件を受けてSODAはセキュリティ強化の対策として、WAF（Web Application Firewall）の導入や外部専門家による脆弱性診断などを実施しました。

参照：不正アクセスによるお客さま情報漏えいに関するお詫びとご報告（08.23追記） | スニーカーダンク

ネット予約サービス「えきねっと」で3,729人に不正ログイン 13人分の個人情報漏れの可能性

JR東日本は2020年3月3日、ネット予約サービス「えきねっと」が不正アクセスを受けたことを発表しました。

この不正アクセスにより、最大3,729人のアカウントが不正にログインされた可能性があるとのことです。

不正アクセスは、3月2日午後5時30分から3日午後0時37分にかけて特定の海外IPアドレスからスマホアプリ「えきねっとアプリ」を通じて多数のログイン試行が行われたようです。

不正ログインされた3,729人のアカウントのうち、大半はトップ画面でとどまっていましたが、13人のアカウントでは別の画面に遷移し、登録者の個人情報が閲覧された形跡があると報告されています。

閲覧された可能性がある情報には、氏名、住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部（カード番号の下4桁、有効期限、ブランド名）、連携している交通系ICカードの番号が含まれているとのことです。

参照：JR東で不正ログイン　えきねっと会員3700人 - 産経ニュース

「スイーツパラダイス　オンラインショップ」7,645件のクレジットカード情報が漏洩した可能性

井上商事株式会社が運営する「スイーツパラダイスオンラインショップ」で、第三者による不正アクセスが行われ、最大で7,645件のクレジットカード情報が漏えいした可能性があると発表されました。

漏えいの可能性がある情報には、クレジットカードの名義人名、カード番号、有効期限、セキュリティコードが含まれているとのことです。この不正アクセスは、ウェブサイトのシステムの脆弱性を突いたもので、ペイメントアプリケーションの改ざんが行われたことが原因とされています。

井上商事では、クレジットカード情報を保有していなかったと説明しています。この問題は、2021年12月7日に同サイトのユーザーから、翌日の12月8日にはクレジットカード会社から、それぞれクレジットカード情報の漏えいの懸念について報告を受け、発覚しました。その後、第三者調査機関による調査を実施し、7,409人のクレジットカード情報が漏えいし、一部は不正利用された可能性があることが確認されました。

参照：【スイーツパラダイス オンラインショップ】不正アクセスによる個人情報漏えいの可能性のあるお客様へのお詫びとお知らせ | 公式スイーツパラダイス

JTBが管理・運営するクラウドサービスの設定ミスで最大1万1,483人分の個人情報漏洩

JTBは2022年10月25日に、観光庁の補助事業者として実施している地域振興事業で、補助金交付を申請した事業者など1万人超の個人情報が漏洩したことを公表しました。

原因は情報共有用のクラウドサービスにおけるアクセス権限の設定ミスでした。

JTBが管理・運営するクラウドサービスは本来、申請した事業者が自社の申請書以外にはアクセスできない仕様だったのですが、運用担当者がデータへの個別アクセス権限を誤設定したため、ログイン権限を持つ事業者のデータが相互に閲覧可能な状態になってしまいました。

この結果、最大1万1,483人分の個人情報を含む1,698件の申請書類などが、他の事業者が申請書をダウンロードすることで漏洩しました。

漏洩した情報には組織名や氏名、連絡用の電話番号、メールアドレスなどが含まれていました。

JTBはこの問題を認識し、アクセス権限の修正を行い、データをダウンロードしたすべての事業者から削除完了の通知を得ました。

JTBは「関係者に迷惑をかけ申し訳ない。ダブルチェックの徹底など再発防止に取り組む」と述べています。

参照：株式会社JTBが管理・運用する情報共有ツールにおけるアクセス権限の誤設定による個人情報等の漏洩について | 2022年 | 報道発表 | 報道・会見 | 観光庁

事例から学ぶ教訓

これらの事例から学ぶことはたくさんありますが、特に重要な教訓を以下に挙げてみます。

セキュリティ設定の大切さ

いくつかの事例では、クラウドサービスの設定ミスが情報漏洩の原因となりました。

このような事態を避けるためには、セキュリティ設定の重要性を理解し、注意深く管理する必要があります。

特に、アクセス権限の設定は非常に重要で、誤った設定は大規模なデータ漏洩を引き起こす可能性があることが示されました。

パスワード管理の重要性

パスワードがハッシュ化（不規則な文字列に変換したパスワード）されていても、他のサービスと同じパスワードを使用している場合、一つのサービスでパスワードが漏洩すると他のサービスも危険にさらされる可能性があります。

ユーザーに対して、異なるサービスで異なるパスワードを使用することの重要性が強調されました。

セキュリティ教育の必要性

従業員に対して定期的なセキュリティ教育を行い、セキュリティ意識を高めることが重要です。

パスワード管理やフィッシング詐欺対策、安全なデータ取り扱い方法などについての教育が必要です。

定期的なセキュリティチェックの重要性

一部の事例では、不正アクセスが長期間にわたって検出されずに続いていました。

不正アクセスを防ぐにはセキュリティ監査や脆弱性スキャンを定期的に行うことが重要です。

データブレーチ発生時の対応

データブレーチ（脆弱性を通じてサーバーにアクセスされること）が発生した場合、迅速かつ適切に対応することが重要です。

ユーザーへの適切な通知や関連機関への報告、そして問題の解決と再発防止策の実施は、信頼回復と法的責任の観点からも重要です。

これらの教訓は、企業だけでなく、個々のユーザーにとっても大切な指針となります。

政府機関からのガイドラインを活用しよう

総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」

総務省が提供しているクラウドセキュリティガイドラインです。

クラウドツールの利便性が高まる一方で、クラウド利用に伴うセキュリティリスクも増大しているため、十分な対策が必要とされています。

「クラウドサービス提供における情報セキュリティ対策ガイドライン（第3版）」は、クラウド利用に伴うリスクとその対策方法を国内に広めるために総務省が作成したもので、サービスの利用・提供における適切な設定、情報セキュリティ対策、経営層や組織長、セキュリティ担当者や管理者など、異なる役割の人々に対して、それぞれの立場からの対策を提案しています。

情報セキュリティのための組織のあり方や、情報資産（取得した個人情報など）の管理方法など、具体的な対策を提供しています。

このガイドラインを参考にすることで、企業はクラウドサービスの利用に伴うリスクを最小限に抑え、事業者やユーザーが被るリスクを最小限に抑えることが可能となります。

https://www.soumu.go.jp/main_content/000771515.pdf（PDFダウンロード）

責任共有モデルについても記載されている

資料の中にある「Ⅰ．6．クラウドサービス事業者とクラウドサービス利用者の責任」では、SaaSやPaaS、IaaSにおける責任共有モデルについても語られています。

たとえば、事業者（クラウドプロバイダー）とサービス利用者（企業）の間で情報漏洩があった場合、責任はどのように共有されるのか？また、SaaS型や、PaaS型など提供しているサービスによっても変わってきます。

こうした細やかな条件によって責任の所在も変わりますし、セキュリティにより管理できる部分の違いについても知っておく必要があるでしょう。

総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」

こちらも、先程のガイドラインと重複する部分もありますが、安全安心なクラウドサービスの利用・提供に資することを目的として、利用者・事業者双方において共通的に認識しておくべき事項及び具体的な対策について取りまとめられています。

クラウドサービスにおける設定不備の抑止・防止に向けた基本的な考え方として

1.クラウドサービス利用者・事業者双方において、クラウドサービスの特性や、クラウドサービスの利用・提供におけるリスクについて認識すること

2.クラウドサービス利用者・事業者双方において、自身の責任範囲や役割を理解し、それを共通認識とすること

3.クラウドサービス利用者・事業者間でコミュニケーションを密なものとしつつ、双方における設定不備の抑止・防止の対策を適切に実施すること

大きく、この3つのポイントを中心に具体的なリスクや対策方法が明記されていますので、一読されることをおすすめします。

https://www.soumu.go.jp/main_content/000843318.pdf（PDFダウンロード）

まとめ

クラウドサービスを利用する上で注意したい情報漏洩について、原因や対策などをご紹介しました。

オンプレミス環境に比べてメリットも多いクラウドサービスですが、セキュリティ面ではオンプレミス環境よりも劣る傾向があるため、上でご紹介したようなガイドラインを参考にセキュリティポリシーを定め、安全に運用しましょう。

なお、クラウドERPの「キャムマックス」では、これまで情報漏洩などの事故やセキュリティが突破された、などの事故はありません。

ウイルスに攻撃されないように設計をしていること、サーバーの管理も 自社スタッフで行い万全の体制を敷いておりますので、安心してご利用いただけます。

キャムマックスについて詳しくは、下記ページをご覧ください。

中小企業のためのクラウドERP「キャムマックス」