Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ？ 注意点を専門家に聞く

[吉川大貴，ITmedia]

　「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。例えば楽天は2020年12月、営業管理に利用していたSalesforce製品のセキュリティ設定にミスがあり、148万件以上の個人情報が漏えいした可能性があると発表。21年4月6日には、Trelloで管理されていたと思しきさまざまな企業の情報が、誰でも閲覧可能な状態になっていた。こちらも原因は公開設定のミスとみられている。

　これらの情報漏えいを受け、SaaSの利用停止を検討する企業も出てくるかもしれない。しかし、業務の効率化やDX（デジタルトランスフォーメーション）の推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。

　では、企業は一体どうすれば、情報漏えいにつながるミスを防ぎつつ、SaaSを使い続けられるのか。IT関連団体の連合体である日本IT団体連盟の丸山満彦主査（企業評価分科会）と上杉謙二委員（同）に聞いた。

日本IT団体連盟公式サイトより

特集：「設定ミス」でトラブル多発　SaaS利用の正しい心構え

企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいます。この特集ではSaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探ります。

“シャドーIT”を防ぐためにも導入前の整理が重要

　2人によれば、情報漏えいをせずにSaaSを使い続けるために、気を付けておくべき点が2つあるという。

　1つはSaaSの導入前、業務に必要な機能やその用途を整理し、不必要なツールや機能を採用しないことだ。この工程を怠ると、本来の業務に関係ない機能や、ユーザー企業の手に余るツールを利用せざるを得ない状況につながる。

　管理しにくいツールを使い続ければ、設定ミスが発生する可能性も上がり、情報漏えいのリスクが高まる。そうでなくても、ツールを安全に運用するため、他の企業や専門家のサポートを得るための手間やコストが発生する。

　使いにくいツールを利用し続けることは、“シャドーIT”が発生し、社員がどこでどんなツールを使っているか分からない事態にもつながる。こういったリスクを避けるためには、導入前に要件を絞り込んでおくことが不可欠という。

導入後はアップデートの確認を欠かさない

　もう1つはSaaSの導入後、アップデートをチェックを欠かさないことだ。

　多くのSaaSは、頻度の差はあれサービスをより良くするためにアップデートを行う。このとき、古いバージョンならデフォルトのままでも問題なかった設定が、新しいバージョンでは変更しておかないと情報漏えいにつながってしまう可能性がある。

上杉謙二委員

　更新のたびに担当者などに通知が行き、内容を確認できる仕組みができていれば、この事態は防ぐことができる。一方で仕組み作りが不完全だったり、そもそも更新を無視していたりすると、重要なアップデートを見逃してしまい、情報漏えいにつながる恐れがあるという。

　「例えば一昔前のWindowsのバージョンアップでは、動かなくなるアプリケーションなどを確認する必要があったが、これと変わらない。範囲が広がって、チェックするべき事柄が増えただけ。基本的な仕事が重要」（上杉さん）

事業者側にも“説明責任”？

　丸山さんはユーザー企業だけでなく、SaaSを提供する事業者側にも、情報漏えいを減らすための工夫が必要と話す。

　「例えば100個の項目をアップデートしたとして、それを資料にそのまま貼り付けるのでは分かりにくい。重要な部分や情報漏えいにつながる部分を強調するなど、ユーザー企業側に配慮する必要がある」（丸山さん）

　こうすることで、ユーザー企業もツールを理解しやすくなり、事業者とのコミュニケーションが円滑になる。一方で、ユーザー企業側も事業者の説明をうのみにするだけでなく、自分たちでも確認を徹底するべきという。

丸山満彦主査

　「クラウドツールの利用が広がるにつれ、『管理は事業者にお任せでOK』というイメージの人や、実際にそう説明する事業者が増えているかもしれない。しかし実態は違う。常に仕様は変わっていくものなので、ユーザー企業は確認を重ねていく必要がある」（丸山さん）