サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 インシデント事例 厚生労働省委託先の大原学園で仕様書に反するクラウドでの不適切な名簿管理、誤送信で発覚

厚生労働省委託先の大原学園で仕様書に反するクラウドでの不適切な名簿管理、誤送信で発覚

目次
  • 今回の解説ニュース
  • 委託先企業のセキュリティ違反を未然に防ぐには
  • クラウド利用の便利さをより活かす為の対策

今回の解説ニュース

厚生労働省委託先の大原学園で仕様書に反するクラウドでの不適切な名簿管理、誤送信で発覚

厚生労働省は8月26日、同省が実施する「中長期的なキャリア形成を支援するためのキャリアコンサルタント向け研修の実施事業」を委託した学校法人大原学園での個人情報漏えいについて発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

メールの誤送信とクラウドの設定ミスが同時に発生したことで、個人情報が漏洩してしまったということです。クラウドの設定ミスが発生する原因と対策について説明します。

今回のインシデントは、セキュリティが確保されていないクラウドサービスにアクセス可能なURLが記載されたメールを1名に対して送ってしまったことで発生しています。クラウドサービスには1106名分の個人情報が保存されていたということです。

また、委託事業の仕様書では、クラウドサービスで個人情報を管理することを禁止していたようで、厚生労働省は、当該受託者に対して個人情報の適切な取り扱いと再発防止の徹底を図るよう注意指導するとともに、情報セキュリティに関する監査を実施するということです。

委託先企業のセキュリティ違反を未然に防ぐには

委託先の企業がセキュリティ上の違反をしていないかどうかについて、国際規格のISO27001では、情報にアクセスする委託先の管理を徹底するよう定められています。その内容について説明します。

ISO27001とは、情報セキュリティマネジメントシステムであるISMSに関する国際規格です。組織が保護すべき情報資産を洗い出し、セキュリティの3要素である機密性、完全性、可用性の3つをバランスよく管理することが求められています。

ISO27001の管理策に「供給者管理」が定められています。今回の場合、供給者は厚生労働省が事業を委託した企業と、結果的には、その委託先が個人情報を保存していたクラウド事業者も含まれます。

また、ISO27001では、供給者と情報へのアクセスや守秘義務に関して合意した内容を文書化しているかであったり、供給者のサービスが変更された時など、必要に応じて監査を行い、その結果をセキュリティ担当組織へ報告しているかであったり、総じて委託先のセキュリティ管理を徹底するように定められています。

今回の場合ですと、委託先に対して情報へのアクセスに関して仕様書では合意していたものの、実態としては異なる運用がなされていたということなり、厚生労働省の確認方法に不備があったことが考えられます。このように、委託先で発生するセキュリティリスクは「サプライチェーンリスク」と呼ばれており、対策が困難な問題の一つと言われています。

クラウド利用の便利さをより活かす為の対策

クラウドの設定不備を確認する方法として、クラウド事業者などが提供するセキュリティガイドを活用する方法があります。また、AWSやAzureなどの設定不備を監視する仕組みとして「CSPM」があります。

事業者、利用者それぞれに責任を持つ「責任共有モデル」
前提として、クラウドサービスにはクラウド事業者と利用者がそれぞれ責任を持つ「責任共有モデル」という考え方があります。クラウドサービスによって利用者がセキュリティを担保しなければならない範囲があるということです。そこで、利用者が気を付けなければならないセキュリティの設定がまとめられたセキュリティガイドがクラウド事業者から提供されている場合があります
セキュリティガイドを活用する
クラウドサービスによっては、第三者が発行しているセキュリティガイドであるCISベンチマークが対応している場合があります。これらのセキュリティガイドを活用することで、クラウドサービスを安全に利用することが可能です。ただし、セキュリティガイドを活用するためには、技術的な知識を持ってガイドを読み解いていく必要がありますので、対応が難しい場合は専門家の支援を受けることも検討しましょう。
クラウドサービス全体の設定不備を監視する方法「CSPM」の導入
また、AWSやAzureなど、クラウドサービス全体の設定不備を監視する方法として、CSPMを導入する選択肢が考えられます。CSPMとは、Cloud Security Posture Managementの略で、主にクラウドサービスの設定ミスを管理する仕組みです。日々変化するクラウド環境のセキュリティ設定を監視する仕組みとして、様々なクラウドサービスに対応したCSPMが提供されています。

クラウドサービスは簡単に使い始められる一方で、セキュリティの設定不備が発生しやすいことも事実です。今回の委託事業でも、そのセキュリティリスクを除去するために、クラウドサービスの利用を仕様書で禁止していたことが考えられますが、本来求められることは委託先も含めた「全員参加のセキュリティ」です。サプライチェーンリスクが顕在化しないよう、我々もセキュリティベンダーとして何ができるか、全力で考えていきたいと思っています。

クラウドセキュリティ参考リンク

CSPM|サクッと読めるセキュリティ用語解説

https://www.shiftsecurity.jp/cloud-blog/20210610-7

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ