ITmedia NEWS >

「設定ミス」でトラブル多発 SaaS利用の正しい心構え

企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいる。これを機にSaaSの利用を見直す企業も出たというが、DXに向けての動きが進む中、果たしてその選択は正しいのか? SaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探る。

Pickup!

クラウドサービスの活用が広がるのに比例して発生する、設定ミスに起因するセキュリティ事故。数々のインシデントが報じられる中、なぜこういった事故はなくならないのか。ガートナー ジャパンの亦賀忠明さんによれば、背景には日本企業特有の「クラウドへの理解不足」があるという。

(2021年7月5日)

クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。

(2021年5月31日)

「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。しかしDXの推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。企業はどうすれば情報漏えいを防ぎつつ、SaaSを使い続けられるのか、注意点を専門家に聞いた。

(2021年4月28日)

関連記事

東京都が医療従事者向けに公開した新型コロナワクチンの接種予約サイトに、第三者から個人情報が閲覧できる不具合があった問題を受け、システムのベースとなるソフトウェア「kintone」(キントーン)を開発したサイボウズがkintone自体に脆弱性はないと発表。

(2021年4月27日)

東京都福祉保健局は医療従事者向けに公開した新型コロナワクチンの接種予約サイトで不具合が発生したため、Webでの予約受け付けを停止したと発表した。特殊なツールを使えば個人情報を外部から閲覧できる状態だったという。

(2021年4月27日)

プロジェクト管理ツール「Trello」経由で個人情報を含むユーザーの書き込んだ情報が一部公開されていた問題で、運営会社の豪Atlassianが「ユーザーサポートに尽力する」と公式ブログで発表した。

(2021年4月6日)

プロジェクト管理ツール「Trello」経由で住所氏名などの個人情報が流出していることに関し、内閣サイバーセキュリティセンター(NISC)が公式Twitterアカウントで「公開範囲の設定を確認してほしい」と注意を呼び掛けている。

(2021年4月6日)

4月5日深夜から6日の朝にかけて、プロジェクト管理ツール「Trello」経由で個人情報が流出しているとする投稿がネット上で注目を集めている。閲覧設定を「公開」としていたことが原因とみられる。

(2021年4月6日)

SMBC信託銀行が、3月8日に流出を発表したデビットカードの暗証番号(最大101件)について、第三者に復号され閲覧された可能性があると発表。同社は8日の発表当初、番号は暗号化した状態で流出したと説明していた。

(2021年3月30日)

SMBC日興証券とSMBC信託銀行が不正アクセスを受け、合計11万8764件の個人情報が閲覧可能になっていたと発表。情報の管理に使っていたCRMツール「Salesforce」の権限設定に不備があったという。

(2021年3月9日)

イオン銀行が、情報管理用クラウドツールが不正アクセスを受け、2062件の個人情報が流出したと発表。具体的な製品名は明らかにしていないが「設定にミスがあった」としている。

(2021年2月22日)

クラウド会計ソフトを提供するfreeeが、2898件の個人情報が外部から閲覧可能な状態になっていたと発表。「Salesforce」の設定に不備があり、第三者がアクセスできる状態になっていたという。

(2021年2月10日)

日本のIT団体を束ねる日本IT団体連盟は、「GitHub」を通じてソースコードが一部公開された事件について「GitHubなどの禁止は解決にならない」とする声明を発表した。

(2021年2月10日)

内閣サイバーセキュリティセンター(NISC)が意図せずに情報が外部から参照される可能性があるとして、米Salesforce.comの製品に関する声明を発表。設定の確認などを呼び掛けている。

(2021年2月2日)

三井住友銀行(SMBC)が同行のシステムのソースコードが外部のWebサイト上に無断で公開されていたと明らかに。顧客情報の流出やセキュリティに影響はないとしている。

(2021年1月29日)

楽天グループが、利用中の営業管理用SaaSに不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。営業管理用SaaSのセキュリティ設定にミスがあったことが原因という。

(2020年12月25日)

PayPayのサーバに不正アクセス。加盟店の名称、住所、代表者名など2007万6016件の情報が流出した恐れがある。一般ユーザーの個人情報は流出していないという。

(2020年12月7日)

SaaS導入事例

東京都杉並区がノーコード開発ツール「kintone」を活用し、虐待を受けているとみられる児童の保育園や学校における出欠状況を自動集計するアプリを開発した。まずは区立保育園37カ所で導入。私立保育園や学校にも導入を進める。

(2021年6月15日)

慶應義塾大学は、経済学部の志願者募集の一部に、志願者が大学を横断して出願できるオンラインシステム「The Admissions Office」を導入すると発表した。英語にも対応するシステムで外国籍学生の獲得を狙う。

(2021年6月2日)

富士通グループが、クラウド型名刺管理サービス「Sansan」を導入。約8万人のグループ社員が利用し、データ化した名刺を保管、活用する。提供会社のSanSanが発表した。

(2021年4月22日)

インフォマートとコンカーが、東京都三鷹市など4つの自治体で電子請求書導入に向けた実証実験を行った。業務時間を最大で84%削減できたという。

(2020年11月30日)

ソフトバンクが10月に「Slack」を全社導入。現在は約5万アカウントでの利用を段階的に進めている。社内での活用法を、同社の宮内謙社長が解説した。

(2020年11月18日)

ソフトバンクが10月から「Slack」を全社導入。従業員などを対象に、約5万アカウントの導入を段階的に進めているという。

(2020年11月13日)

防衛医科大学校が、米Oracleのクラウド型ファイル共有サービスを導入。オンライン教材の配信基盤として、医学教育部に所属する約1000人の教員と学生が使用している。リモートでの教材配布やレポート提出、動画教材の共有などが可能になったという。

(2020年7月30日)

経済産業省がクラウド型名刺管理サービス「Sansan」を導入。約4000人の職員がデジタル化した名刺を保管、活用する。「オンライン名刺」機能も使用し、新しい働き方を目指す。

(2020年7月7日)

経済産業省がクラウド型名刺管理サービス「Sansan」を導入。約4000人の職員がデジタル化した名刺を保管、活用する。「オンライン名刺」機能も使用し、新しい働き方を目指す。

(2020年7月7日)