株式会社静岡銀行は4月22日、社外クラウドサービスの設定不備により顧客の個人情報が第三者からの閲覧が判明したと発表した。

SHIFT SECURITY セキュリティの学び場ニュース解説株式会社静岡銀行は4月22日、社外クラウドサービスの設定不備により顧客の個人情報が第三者からの閲覧が判明したと発表した。

株式会社静岡銀行は4月22日、社外クラウドサービスの設定不備により顧客の個人情報が第三者からの閲覧が判明したと発表した。

2021.06.10 ニュース解説

今回の解説ニュース
クラウドの設定不備が発生している理由
予算が避けない場合のセキュリティ対策とは

今回の解説ニュース

クラウド設定不備、静岡銀行Webサイトから申込情報が閲覧された可能性

株式会社静岡銀行は4月22日、社外クラウドサービスの設定不備により顧客の個人情報が第三者からの閲覧が判明したと発表した。(記事はこちら)

クラウドサービスの設定不備が原因で、インターネットから個人情報へアクセスできる状態になっていたということです。クラウドサービスを利用する場合にセキュリティの観点で気を付けるべきポイントについて説明します。

今回、設定不備があったクラウドサービスはSalesforceと見られています。SalesforceとはCustomer Relationship Managementの頭文字を取ったCRMと呼ばれる顧客管理をするためのクラウドサービスです。2020年12月ごろからSalesforceへの不正アクセスが多発しており、それらのほとんどがSalesforceの設定不備によるものです。なお、クラウドサービスを提供するセールスフォース・ドットコム社の見解としては、これらの設定不備はユーザ側の問題であり、クラウド事業者側としては問題ないとしています。

なぜ、Salesforceでこのようなインシデントが多発しているかというと、ゲストユーザと呼ばれるSalesforceで認証されていないユーザが、顧客情報にアクセスできる権限をデフォルトで持っていたためと考えられています。Salesforceを正しく設定していれば避けられたインシデントではありますが、セキュリティについて十分な知見を持つユーザでなければ、デフォルト設定のまま運用してしまうことが多いのではないでしょうか。

今回のインシデントも、Webサイトから申し込みを受け付けて顧客の情報を管理するシステムに設定不備があったということで、少数ながらも顧客情報が第三者に閲覧されてしまったということです。

クラウドの設定不備が発生している理由

クラウドの設定不備が発生している理由は、クラウドサービスが簡単に使い始められることと、責任分界点に対する認識不足が関係しています。それぞれについて説明します。

クラウドサービスが簡単に使い始められることから、細かい設定まで目が行き届いていない可能性があります。例えば、アカウント登録さえしてしまえば使い始められるクラウドサービスは多く、クレジットカード情報を追加すれば支払いまで完了することができます。手軽に始められることはクラウドサービスのメリットでもありますが、ユーザにとって細かい設定を気にする機会がなくなり、結果として設定不備が発生してしまっている現状が考えられます。

また、クラウドサービスを利用するにあたり、責任分界点に対する認識不足も発生しているのではないかと考えられます。例えば今回のSalesforceについても、ゲストユーザの設定についてはユーザが責任を持って行うべきということを正しく理解している利用者はどれだけいるでしょうか。多くのユーザにおいてクラウド事業者がセキュリティを担保しているであろうという認識不足の状態が、同様のインシデントが多発している現状を表しているのではないかと考えられます。

予算が避けない場合のセキュリティ対策とは

予算がなくてもセキュリティ対策を実施することは可能です。今回はセキュリティガイドラインの活用について説明します。

クラウドサービスごとにセキュリティのベストプラクティスがまとめられたセキュリティガイドラインを活用できる可能性があります。セキュリティのベストプラクティスとは、サービスの利用においてセキュリティを担保する上で効率の良い方法がまとめられているものです。ベストプラクティスは定期的に更新されていることが多く、機能の追加や更新とともにセキュリティのベストプラクティスも見直されています。

クラウドサービスのベストプラクティスがまとめられたセキュリティガイドラインとして、CISベンチマークを活用することができます。CISベンチマークとは、システムを安全に構成するためのベストプラクティスがまとめられたもので、AWSやAzureなど、各クラウドサービスごとにガイドラインが作成されています。内容を読み解いていくことは簡単ではありませんが、時間さえかけられれば利用しているクラウド環境に対して設定が正しく行われているか確認することができます。また、利用しているクラウドサービスのCISベンチマークが存在していなかったとしても、クラウド事業者が独自にセキュリティガイドラインを発行している場合があり、Salesforceもセキュリティガイドを独自に発行しています。

我々もセキュリティ企業として、お金がなくてもセキュリティ対策ができる環境を提供したい思いで、様々な無償のセキュリティサービスを提供しています。もちろん、このセキュリティラジオもその取り組みの一つとして、皆さんのお役に立てたらと思っています。

Voicyでニュース解説ラジオ配信中！

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください！

今日の10分セキュリティラジオはこちら

この記事の著者セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。