ITmedia NEWS >

「設定ミス」でトラブル多発 SaaS利用の正しい心構え

企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいる。これを機にSaaSの利用を見直す企業も出たというが、DXに向けての動きが進む中、果たしてその選択は正しいのか? SaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探る。

Pickup!

「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。

(2021年4月28日)

プロジェクト管理ツール「Trello」の設定ミスで個人情報が外部から閲覧できる状態だったことについて、ネット上の意見を参考に考察してみた。

(2021年4月7日)

SMBCから業務委託を受けたSEらしき人物が、GitHubにソースコードを公開したことが話題になった。この情報漏えいはどうすれば防げたのか。専門界に話を聞いた。

(2021年2月1日)

関連記事

東京都が医療従事者向けに公開した新型コロナワクチンの接種予約サイトに、第三者から個人情報が閲覧できる不具合があった問題を受け、システムのベースとなるソフトウェア「kintone」(キントーン)を開発したサイボウズがkintone自体に脆弱性はないと発表。

(2021年4月27日)

東京都福祉保健局は医療従事者向けに公開した新型コロナワクチンの接種予約サイトで不具合が発生したため、Webでの予約受け付けを停止したと発表した。特殊なツールを使えば個人情報を外部から閲覧できる状態だったという。

(2021年4月27日)

プロジェクト管理ツール「Trello」経由で個人情報を含むユーザーの書き込んだ情報が一部公開されていた問題で、運営会社の豪Atlassianが「ユーザーサポートに尽力する」と公式ブログで発表した。

(2021年4月6日)

プロジェクト管理ツール「Trello」経由で住所氏名などの個人情報が流出していることに関し、内閣サイバーセキュリティセンター(NISC)が公式Twitterアカウントで「公開範囲の設定を確認してほしい」と注意を呼び掛けている。

(2021年4月6日)

4月5日深夜から6日の朝にかけて、プロジェクト管理ツール「Trello」経由で個人情報が流出しているとする投稿がネット上で注目を集めている。閲覧設定を「公開」としていたことが原因とみられる。

(2021年4月6日)

SMBC信託銀行が、3月8日に流出を発表したデビットカードの暗証番号(最大101件)について、第三者に復号され閲覧された可能性があると発表。同社は8日の発表当初、番号は暗号化した状態で流出したと説明していた。

(2021年3月30日)

SMBC日興証券とSMBC信託銀行が不正アクセスを受け、合計11万8764件の個人情報が閲覧可能になっていたと発表。情報の管理に使っていたCRMツール「Salesforce」の権限設定に不備があったという。

(2021年3月9日)

イオン銀行が、情報管理用クラウドツールが不正アクセスを受け、2062件の個人情報が流出したと発表。具体的な製品名は明らかにしていないが「設定にミスがあった」としている。

(2021年2月22日)

クラウド会計ソフトを提供するfreeeが、2898件の個人情報が外部から閲覧可能な状態になっていたと発表。「Salesforce」の設定に不備があり、第三者がアクセスできる状態になっていたという。

(2021年2月10日)

日本のIT団体を束ねる日本IT団体連盟は、「GitHub」を通じてソースコードが一部公開された事件について「GitHubなどの禁止は解決にならない」とする声明を発表した。

(2021年2月10日)

内閣サイバーセキュリティセンター(NISC)が意図せずに情報が外部から参照される可能性があるとして、米Salesforce.comの製品に関する声明を発表。設定の確認などを呼び掛けている。

(2021年2月2日)

三井住友銀行(SMBC)が同行のシステムのソースコードが外部のWebサイト上に無断で公開されていたと明らかに。顧客情報の流出やセキュリティに影響はないとしている。

(2021年1月29日)

楽天グループが、利用中の営業管理用SaaSに不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。営業管理用SaaSのセキュリティ設定にミスがあったことが原因という。

(2020年12月25日)

PayPayのサーバに不正アクセス。加盟店の名称、住所、代表者名など2007万6016件の情報が流出した恐れがある。一般ユーザーの個人情報は流出していないという。

(2020年12月7日)

SaaS導入事例

富士通グループが、クラウド型名刺管理サービス「Sansan」を導入。約8万人のグループ社員が利用し、データ化した名刺を保管、活用する。提供会社のSanSanが発表した。

(2021年4月22日)

インフォマートとコンカーが、東京都三鷹市など4つの自治体で電子請求書導入に向けた実証実験を行った。業務時間を最大で84%削減できたという。

(2020年11月30日)

ソフトバンクが10月に「Slack」を全社導入。現在は約5万アカウントでの利用を段階的に進めている。社内での活用法を、同社の宮内謙社長が解説した。

(2020年11月18日)

ソフトバンクが10月から「Slack」を全社導入。従業員などを対象に、約5万アカウントの導入を段階的に進めているという。

(2020年11月13日)

防衛医科大学校が、米Oracleのクラウド型ファイル共有サービスを導入。オンライン教材の配信基盤として、医学教育部に所属する約1000人の教員と学生が使用している。リモートでの教材配布やレポート提出、動画教材の共有などが可能になったという。

(2020年7月30日)

経済産業省がクラウド型名刺管理サービス「Sansan」を導入。約4000人の職員がデジタル化した名刺を保管、活用する。「オンライン名刺」機能も使用し、新しい働き方を目指す。

(2020年7月7日)

ソラシドエアが、「Slack」を全社に導入したと発表。全社員(計約800人)がSlackを使用し、意思疎通を効率化する。同ツールを全社に導入する例は、国内の航空会社では初という。

(2020年4月6日)

近畿大学が、全学生に「Slack」を導入する計画を発表。2020年4月に830人の学生へ導入。対象範囲を順次広げていく。

(2019年11月20日)