Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く
「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。
「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。例えば楽天は2020年12月、営業管理に利用していたSalesforce製品のセキュリティ設定にミスがあり、148万件以上の個人情報が漏えいした可能性があると発表。21年4月6日には、Trelloで管理されていたと思しきさまざまな企業の情報が、誰でも閲覧可能な状態になっていた。こちらも原因は公開設定のミスとみられている。
これらの情報漏えいを受け、SaaSの利用停止を検討する企業も出てくるかもしれない。しかし、業務の効率化やDX(デジタルトランスフォーメーション)の推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。
では、企業は一体どうすれば、情報漏えいにつながるミスを防ぎつつ、SaaSを使い続けられるのか。IT関連団体の連合体である日本IT団体連盟の丸山満彦主査(企業評価分科会)と上杉謙二委員(同)に聞いた。
特集:「設定ミス」でトラブル多発 SaaS利用の正しい心構え
企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいます。この特集ではSaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探ります。
“シャドーIT”を防ぐためにも導入前の整理が重要
2人によれば、情報漏えいをせずにSaaSを使い続けるために、気を付けておくべき点が2つあるという。
1つはSaaSの導入前、業務に必要な機能やその用途を整理し、不必要なツールや機能を採用しないことだ。この工程を怠ると、本来の業務に関係ない機能や、ユーザー企業の手に余るツールを利用せざるを得ない状況につながる。
管理しにくいツールを使い続ければ、設定ミスが発生する可能性も上がり、情報漏えいのリスクが高まる。そうでなくても、ツールを安全に運用するため、他の企業や専門家のサポートを得るための手間やコストが発生する。
使いにくいツールを利用し続けることは、“シャドーIT”が発生し、社員がどこでどんなツールを使っているか分からない事態にもつながる。こういったリスクを避けるためには、導入前に要件を絞り込んでおくことが不可欠という。
導入後はアップデートの確認を欠かさない
もう1つはSaaSの導入後、アップデートをチェックを欠かさないことだ。
多くのSaaSは、頻度の差はあれサービスをより良くするためにアップデートを行う。このとき、古いバージョンならデフォルトのままでも問題なかった設定が、新しいバージョンでは変更しておかないと情報漏えいにつながってしまう可能性がある。
更新のたびに担当者などに通知が行き、内容を確認できる仕組みができていれば、この事態は防ぐことができる。一方で仕組み作りが不完全だったり、そもそも更新を無視していたりすると、重要なアップデートを見逃してしまい、情報漏えいにつながる恐れがあるという。
「例えば一昔前のWindowsのバージョンアップでは、動かなくなるアプリケーションなどを確認する必要があったが、これと変わらない。範囲が広がって、チェックするべき事柄が増えただけ。基本的な仕事が重要」(上杉さん)
事業者側にも“説明責任”?
丸山さんはユーザー企業だけでなく、SaaSを提供する事業者側にも、情報漏えいを減らすための工夫が必要と話す。
「例えば100個の項目をアップデートしたとして、それを資料にそのまま貼り付けるのでは分かりにくい。重要な部分や情報漏えいにつながる部分を強調するなど、ユーザー企業側に配慮する必要がある」(丸山さん)
こうすることで、ユーザー企業もツールを理解しやすくなり、事業者とのコミュニケーションが円滑になる。一方で、ユーザー企業側も事業者の説明をうのみにするだけでなく、自分たちでも確認を徹底するべきという。
「クラウドツールの利用が広がるにつれ、『管理は事業者にお任せでOK』というイメージの人や、実際にそう説明する事業者が増えているかもしれない。しかし実態は違う。常に仕様は変わっていくものなので、ユーザー企業は確認を重ねていく必要がある」(丸山さん)
関連記事
- Trelloの設定ミス、「公開」の誤解が原因? 分かりやすい表現とローカライズを考える
プロジェクト管理ツール「Trello」の設定ミスで個人情報が外部から閲覧できる状態だったことについて、ネット上の意見を参考に考察してみた。 - GitHubへのソースコード流出問題、防ぎようはあるのか 専門家に聞く
SMBCから業務委託を受けたSEらしき人物が、GitHubにソースコードを公開したことが話題になった。この情報漏えいはどうすれば防げたのか。専門家に話を聞いた。 - 「GitHub禁止は解決にならない」「過度にリスク面だけ注目しないで」 IT連が声明
日本のIT団体を束ねる日本IT団体連盟は、「GitHub」を通じてソースコードが一部公開された事件について「GitHubなどの禁止は解決にならない」とする声明を発表した。 - SMBC日興証券・信託銀行、個人情報約12万件が閲覧可能な状態に Salesforce製品に設定ミス 一部で流出も
SMBC日興証券とSMBC信託銀行が不正アクセスを受け、合計11万8764件の個人情報が閲覧可能になっていたと発表。情報の管理に使っていたCRMツール「Salesforce」の権限設定に不備があったという。 - 「設定を見直して」 NISC、「Salesforce」利用企業に注意喚起 楽天やPayPayの情報流出を受け
内閣サイバーセキュリティセンター(NISC)が意図せずに情報が外部から参照される可能性があるとして、米Salesforce.comの製品に関する声明を発表。設定の確認などを呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.