コラム 2024.03.21

SaaS/PaaS利用のリスクとは?情報漏洩事件から探る原因と解決策

column_036_thumbnail.png

多くのユーザーがさまざまなSaaS/PaaSを利用するようになって顕在化しつつあるのが、不適切な利用によって発生する情報漏洩などのインシデントです。

本コラムでは、SaaS/PaaSを安全に利用するために、これまでに発生した問題などからインシデントの発生原因や解決策を探ってみます。

INDEXこの記事の目次

    SaaS/PaaS利用で発生した情報漏洩・インシデント

    SaaS/PaaS利用企業において発生したインシデントをいくつかご紹介します。

    SFAサービスに格納した情報が誰でも閲覧可能な状態に

    2020年頃、大手SaaSベンダーが提供するSFAサービス利用企業から相次いで情報漏洩が起きた可能があることが発表されました。原因は、サービスの不適切な設定により、利用企業が保有する顧客情報等が誰でもアクセスできるページで閲覧・持ち出しが可能な状態になっていたことでした。

    column_036_image01.png

    当該SFAでは、それまでは設定が不適切であっても顕在化していなかったリスクが、サービス改変で新しいインターフェイスになったことで顕在化し、多くのユーザーが情報漏洩を招いてしまいました。

    情報漏洩の影響範囲は、QR決裁サービス企業で2,000万件、大手小売業で148万件など多数に及んだことから、内閣官房内閣サイバーセキュリティセンターや金融庁から注意喚起が出されるといった事態にまで至りました。

    ストレージに保存されていた38TBの内部情報が3年以上に渡り公開

    2023年9月、米国大手ソフトウェア&クラウド提供会社は、同社AI研究者が、同社が提供するクラウドストレージの設定の誤りにより、同社の内部情報が外部からアクセス可能な状態になっていたことを発表しました。

    column_036_image02.png

    AI研究者は、GitHub上にソースコードを公開する際、クラウドストレージにアクセスするためのアクセスキー(認証情報)をソースコードに含めていました。ところが、そのアクセスキーには、広範のストレージ領域に対するフル権限が与えられており、本来アクセスを許可すべきではない、同社の従業員が保有するPCのバックアップデータが含まれており、サービスのパスワード、秘密鍵、従業員359名の3万件を超えるチャットのメッセージが含まれていました。
    同社では、2020年頃よりこのような状態であったことも明らかにしています。

    上記以外にも、地方自治体が医療従事者向けに公開した新型コロナワクチンの接種予約サイトが、利用していたソフトウェアの設定ミスにより誰でも個人情報が閲覧可能な状態になっていたり、プロジェクト管理ツールから個人情報が漏洩したといった問題が発生するなど、SaaS/PaaS利用者における情報漏洩事件が後を絶たない状況です。

    インシデントの発生原因とは

    このようなSaaS/PaaS利用企業で発生するインシデントには、いくつかの原因が関与しています。

    (1)利用ユーザーの広がり(非IT部門)

    SaaS/PaaSの場合、IaaSとは異なりサーバーの運用管理が不要であることから、システム部門を介さず直接利用部門のみで利用できる点が特徴です。そのため、SaaS/PaaS利用部門が必ずしも十分なセキュリティ知識を保持せずSaaS/PaaSを利用してしまう場合があります。

    これにより、SaaS/PaaSのアクセス権や認証情報の管理、適切な設定などがおろそかな状態で運用してしまうことで、リスクの高い状態で利用してしまう可能性があります。

    前項でご紹介した米国大手ソフトウェア&クラウドサービス提供会社のAI研究者は、AI技術の専門家ではあったものの、サービスを安全に利用するためのセキュリティの専門家ではなかったことが示唆されます。これによりストレージサービスに対するアクセス権の考慮が足らず、上記の問題が発生してしまったと考えられます。

    (2)サービスの多様性と頻繁なサービス仕様変更

    クラウドサービスの発展に伴い、世の中には実に多種多様なSaaS/PaaSが提供されています。困ったことにサービスの仕様はサービスごとに異なるため、どのような設定が適切かの判断には、サービスごとにその仕様を理解する必要があります。また、各サービスは、改善のため頻繁に変更が行われるため、その度に仕様変更についても追従して理解する必要があります。

    前項でご紹介した大手SFAにおける情報漏洩は、これまで顕在化していなかった設定不備に伴うリスクが、そのサービス変更によって顕在化したものでした。

    (3)利用ユーザーの知識不足

    上述した通り、多様なサービスと頻繁な仕様変更によって、利用ユーザーがサービス仕様に対して十分な知識を有していないことで、設定不備を招いても気づかず状態を放置してしまう結果に陥ります。

    安全なクラウドサービス利用のポイントとは?

    前述したような問題を招くことなく、SaaS/PaaSを安全に利用するための主な対処は以下の通りです。

    1. 各サービス仕様の正しい理解に基づく設定・ポリシーの策定
    2. 非IT部門が直接契約利用するSaaS/PaaSを含めたポリシーの徹底
    3. 管理者権限の適切な管理

    しかしながら、必ずしもすべてのSaaS/PaaSが必要な要件を提供しているとは限りません。特に「3.管理者権限の適切な管理」に関する機能は、サービスとして提供されていなかったり不十分だったりするケースが多いのが実情です。

    サービス自体が要件を満たすことが難しい場合の対応は?

    サービス範囲内で十分な要件を満たせない場合、サードパーティーのツールを利用することによる解決も視野に入れる必要があります。
    wp007_202402.png詳細はホワイトペーパー「顕在化しつつあるSaaS/PaaS利用のリスクと講じるべき対処 ~発生インシデントからひも解く課題と対策のポイント~」でご紹介しております。

    コラムでは紹介しきれなかった安全なクラウドサービス利用に関する詳しい解説もありますので是非ホワイトペーパーをご参考くださいませ。