サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 インシデント事例 京都駅ビル開発のクラウドサーバへ不正アクセス、個人情報流出の可能性

京都駅ビル開発のクラウドサーバへ不正アクセス、個人情報流出の可能性

京都駅ビル開発のクラウドサーバへ不正アクセス、個人情報流出の可能性
目次
  • 今回の解説ニュース
  • クラウドサーバへの不正アクセスでよく見られる原因
  • 長期休暇前にクラウドのセキュリティで気を付けておくべきポイント

今回の解説ニュース

京都駅ビル開発のクラウドサーバへ不正アクセス、個人情報流出の可能性

京都駅ビル開発株式会社は4月15日、同社サーバへの不正アクセスによる個人情報流出の可能性について発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

クラウドへの不正アクセスで個人情報が漏洩した可能性があるということです。クラウドが不正アクセスの被害を受ける原因と、長期休暇前にクラウド環境のセキュリティで気を付けるべきポイントについて説明します。

今回のインシデントでは、部内業務で使用するクラウドサーバへの不正アクセス攻撃が判明しました。サーバの部内業務資料には、氏名、住所のほか、一部に役職名や電話番号、メールアドレス等の個人情報が含まれており、流出の可能性を否定できない状況であるということです。侵害経路等の原因について、外部の専門機関とともに調査を進めています。

対策として、個人情報保護委員会への速報と、警察への通報は完了しており、対象の顧客には順次郵送で連絡を行うということです。

クラウドサーバへの不正アクセスでよく見られる原因

クラウドサーバへの不正アクセスでよく見られる原因の一つとして、「クラウド移行時にセキュリティの前提が見直されないまま、ユーザ認証やアクセス制限の設定が引き継がれてしまうこと」が挙げられます。今回、インシデントの詳細は公開されていませんので、あくまでも一般論として説明します。

在宅勤務やリモートワークが広まる中で、クラウドの活用が求められる機会が増えてきました。かつて、社内の情報共有として使われてきたオンプレの社内システムも、クラウドサービスに置き換えられることも少なくありません。仮に、オンプレからクラウドへ移行する際に、クラウドのストレージサービスとオンプレのファイルサーバで同じ設定をしていた場合、それぞれのセキュリティリスクは同様になるのでしょうか?

もともと、オンプレのファイルサーバはクラウドを前提とした設定になっていたでしょうか?言い方を変えると、インターネットに公開されることを前提とした設定になっていたでしょうか?具体的には、社内の限られた人しか物理的にアクセスできないことを前提にしていた場合、ユーザ認証やアクセス制限は見直される機会がないまま、オンプレからクラウドへ移行されてしまうかもしれません。これが、クラウドで不正アクセスの被害が発生してしまう原因の正体です。

長期休暇前にクラウドのセキュリティで気を付けておくべきポイント

長期休暇前にクラウドのセキュリティで気を付けておくべきポイントとして、ベストプラクティスに照らし合わせてクラウドの設定周りの確認をしておくことが有効です。

これからの長期休暇で家を留守にすることがあるのではないでしょうか。家を出る前に、窓の鍵、家電のスイッチ、火の元など、うっかり忘れていることがないか確認すると思います。万が一、留守中に事件や事故があった際は、対応できずに被害が大きくなってしまうことは簡単に想像できますね。また、外出前に忘れがちなチェックポイントは冊子などにまとめられていることもあります。

クラウドも同様で、不備がある状態が長期間にわたって放置されてしまうと、不正アクセスの被害にあってしまう可能性も高まります。さらに、長期休暇となれば発生したインシデントを直ちに検知したり対応したりすることも難しくなるかもしれません。その際に、本来のあるべき姿としてベストプラクティスがまとめられているのがCISベンチマークです。

CISベンチマークとは、システムを安全に構成するための情報がまとめられたベストプラクティスです。AWSやAzureなど、各クラウドサービスごとにガイドラインが作成されており、CISベンチマークに準拠しているか自動的にチェックするツールが提供されている場合もあります。

クラウドが簡単に使い始められることの弊害であるかもしれませんが、クラウドの設定不備によるインシデントが後を絶ちません。先ほども例に挙げた、ユーザ認証やアクセス制限もクラウドの設定周りの問題です。CISベンチマークなどベストプラクティスに照らし合わせて、違反があれば修正を検討することが求められます。

今回は、クラウドの不正アクセスを受ける主な原因と、長期休暇前に確認しておきたいクラウドのセキュリティについてお届けしました。ご利用中のクラウドで思わぬリスクが放置されていないか安全を確認してから、安心して長期休暇を楽しみましょう。

音声で聴かれるかたはこちら

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

サービスに関する
お問い合わせ