クラウドサービス利用での情報漏えいに気をつけて――IPA：セキュリティの注意喚起

クラウド変換機能を持つIMEでの情報漏えいの可能性が指摘されたことなどを背景にIPAは、ユーザーがクラウドサービスを利用する際に“うっかり”情報を漏えいさせていないか気をつけてほしいと呼び掛けた。

[ITmedia]

　情報処理推進機構（IPA）は2月4日、月例のセキュリティ注意喚起を発表した。クラウドサービスを利用する際の情報漏えいに気をつけるよう利用者に呼び掛けている。

　昨年末には一部の日本語IMEソフトの設定不備などが原因となって、コンピュータでのユーザーの入力情報が企業や組織の外部へ漏えいした疑いのある問題が発生。この問題ではIMEソフトの持つインターネット上の辞書データを利用する「クラウド変換」機能をユーザーが意識せずに利用していた可能性が指摘されていた。

　クラウドサービスではユーザーの情報をインターネット経由でサービス提供者のシステムに送信するという特性から、万一の場合に情報が漏えいする可能性をゼロにすることはできない。

　IPAの呼び掛けではオンラインストレージを例に挙げ、サービス提供者のシステムにデータを置き、そこの機能や仕組みをいつでも、どこからでも利用できる使い勝手の良さがある一方、データの利用範囲の設定を誤ったり、提供者のシステムにサイバー攻撃や不正アクセスがあったりすれば、ユーザー情報の流出につながる恐れがあると解説している。

データをパソコン内に保管する場合とオンラインストレージサービスを活用する場合の違い（IPAより）

　上述のIMEソフトにおける問題では以下の懸念点があったという（現在は改善されている）。

• IMEが別のフリーソフトに同梱されており、ユーザーが一緒にインストールされてしまったことに気付かなかった
• 初期設定で「クラウド変換機能」が有効になっていた
• 利用者が使用許諾契約を一切見なくても利用できた
• 使用許諾契約に「キー入力内容を外部サーバに送信する」ことが明記されていなかった

　IPAは、普段の業務で使われることの多い3種類のクラウドサービスにおける特徴や注意点も解説。業務でクラウドサービスを利用する際に、事前の調査や準備を徹底して効果的に利用できる条件を整え、サービス利用に関する疑問はサービス運営者や開発者に尋ねてほしいとアドバイスしている。

サービスの種類	概要	利用時のリスク
翻訳サービス	翻訳したい文書をWebページに送信すると、サービス事業者の翻訳プログラムが自動的に翻訳	翻訳元文書の内容を外部に送信してしまうことになり、その内容が機密情報に該当する場合、知らない間に社内規定に反してしまうことになる
Webメール	Webブラウザのみで外出先などどこからでもメールを参照できる	(1）個人情報を含むメール本文、メールアドレス情報がサービス事業者に渡る、（2）IDとパスワードが漏えいすると、第三者にメール本文、メールアドレス情報を盗み見られる、（3）万一サービス事業者が情報漏えい被害に遭うと、メールの内容、メールアドレス情報が外部に流出する恐れがある
オンラインストレージ	インターネット上のサーバをファイルの保管庫として利用	（1）個人情報を含むファイルがサービス事業者に渡る、（2）IDとパスワードが漏えいすると、第三者に預けているデータを盗み見られたり、改変されたりする、（3）万一サービス事業者が不正アクセスにあった場合、預けているファイルが外部に流出する恐れがある