サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 琉球銀行の社外クラウドへ不正アクセス、顧客情報流出の可能性

琉球銀行の社外クラウドへ不正アクセス、顧客情報流出の可能性

山々
目次
  • 今回の解説ニュース
  • SaaSにおけるクラウド事業者と利用者の責任共有モデル
  • 暗号化すべき情報について

ニュース解説

琉球銀行の社外クラウドへ不正アクセス、顧客情報流出の可能性

株式会社琉球銀行は6月24日、「りゅうぎんWeb申込サイト」の申込情報等を管理する社外のクラウド型管理システムに対し第三者からの不正アクセスが判明したと発表した。(記事はこちら)

地方銀行が利用するクラウドサービスへ不正アクセスがあり、顧客情報が漏洩した可能性があるということです。クラウドサービスの設定不備が原因で多発しているインシデントを未然に防ぐ方法について説明します。

今回、インシデントが発生したWebサイトでは、Salesforce社のクラウドサービスが利用されていたと言われています。昨年末よりSalesforceの設定不備が原因でインシデントが多発しており、今回も同様の問題と考えられます。

不正アクセスが確認された経緯として、社外のシステム保守会社がクラウドサービスのログを調査したところ、第三者からの不正アクセスが判明し、クラウドサービスのセキュリティ設定に不備が確認されたということです。

被害を受けたWebサイトの構築にSalesforceが採用された背景について「短期間と低コスト」が挙げられています。Salesforceのクラウドサービスを活用することで、インフラやアプリケーションの構築が不要になり、短期間で構築が可能であったとされています。その一方で、細かいセキュリティ設定が見逃されてしまったようで、今回のインシデントにつながってしまったことが考えられます。今回の件に限らず、最近多発しているクラウドサービスの敷居の低さがあだとなってしまったインシデントの事例です。

SaaSにおけるクラウド事業者と利用者の責任共有モデル

今回のインシデントはクラウドサービスの中でもSaaSで発生していますので、SaaSにおけるクラウド事業者と利用者の責任共有モデルについて説明します。

クラウドサービスの責任共有モデルとは、クラウド事業者と利用者がクラウドサービスで責任を負うべき範囲を可視化したものです。誤解が生じやすいクラウドサービスの責任分界点において、すべての利害関係者が共通の認識を持つことを目的として作成されています。

例えば、AWSの責任共有モデルの説明として、AWSの責任はクラウド「の」セキュリティとしている一方で、利用者の責任はクラウド「における」セキュリティとしています。もう少しわかりやすく具体的にSaaSの例で説明すると、物理、インフラ、ネットワーク、アプリケーションの責任はクラウド事業者が責任を負う一方で、データの保護や設定回りは利用者の責任であるとされています。

今回のインシデントの場合「セキュリティ設定の不備が原因」とされていますので、利用者が責任を負う必要があります。対策としては、クラウド事業者が提供しているセキュリティガイドなどを参考に、クラウドサービスの設定回りに問題がないかWebサイトのリリース前に、自社か社外のシステム保守会社が確認する必要があります。

ちなみに、我々もセキュリティで困っているすべての組織を救いたい思いで、数か月前からSalesforce向けのセキュリティ診断を無償で提供しています。今回のインシデントも我々のメッセージが届いてさえいれば未然に防ぐことができた事例であるが故に、救えなかった現実に対して力不足を感じざるを得ません。

暗号化すべき情報について

セキュリティの3要素のうち、機密性の高い情報については暗号化すべきです。その理由について説明します。

セキュリティリスクの分析は情報セキュリティの3要素が失われた場合に、その情報資産の所有者にとってどの程度影響があるかによって評価します。情報セキュリティの3要素とは、機密性と完全性と可用性です。暗号化することによって情報がそのままでは使えない状態となり、機密性が損なわれた場合の影響が軽減されるため、セキュリティリスクを分析した結果、機密性の高い情報は暗号化すべきと判断されます。

例えば、IDとパスワードが暗号化されずに漏洩してしまうと、そのサービスの認証が突破されたり、他のサービスへのリスト型攻撃へ悪用されたりしてしまう可能性があります。そこで、一般的にパスワードは暗号化されてデータベースに保存されており、アカウント情報に対する機密性が損なわれた場合でも、影響が軽減される対策が行われているということになります。

インシデントの未然防止が最善ではありますが、セキュリティに絶対がない現状を鑑みて、データベースを暗号化するなど、多層防御の考え方も取り入れながら、セキュリティリスクを軽減していくことが重要です

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ