ITガバナンスの重要性~野放しITの大きなリスク(第3回)

個人向けストレージサービスの無断利用が危ない

2013.07.17 Wed連載バックナンバー

個人向けストレージサービスが情報漏えいの原因に

 クラウド上に保存したファイルにパソコンやスマートフォンからアクセスできる「Dropbox」や、クラウドを通じてパソコンやスマートフォン間でメモを同期することができる「Evernote」など、個人でも使える便利なサービスが数多く登場しています。ただ、前回解説した事業部門での勝手なクラウド利用と同様、こうした個人向けサービスの勝手な利用も大きな問題となっています。

 実際に大きな問題となったのが、いくつかの省庁の内部情報がインターネット上に公開されていたという事件です。2013年7月に大きく報じられて明らかになったこの事件では、一部の省庁の職員が「Google グループ」と呼ばれるサービスを利用して、複数の職員間などで情報を共有していました。      Google グループには、ファイルを複数のユーザーで共有できるオンラインストレージの機能や、複数のユーザーとコミュニケーションを図るためのメーリングリストといった機能があり、これらを利用してやり取りしていた情報がインターネット上で誰でも閲覧可能な状態になっていたというのです。

 

ルールを無視して外部クラウドサービスを利用

 実はGoogle グループには、アップロードしたファイル、あるいはメーリングリストでやり取りしているメッセージについて、“公開”と“非公開”を設定する仕組みがあり、標準ではインターネット上に公開する設定となっています。それを知らず、非公開で設定せずに使い続けた結果、重要な情報が誰でも閲覧できる状態になっていました。

 しかし事の本質は、「Google グループを正しく設定して使わなかったこと」ではありません。それよりも、「省庁内のルールに従わず、勝手にGoogle グループを利用していたこと」が大きな問題なのです。このように、勝手にクラウドサービスを利用する状況が放置されれば、当然ながらガバナンスは失われ、守るべき情報が適切に保護されているかどうかを誰も確認することができなくなるでしょう。

 ルールを無視して外部クラウドサービスを利用

 

新たなリスクとなったパスワードリスト攻撃

 さらに最近では、新たなリスクとして「パスワードリスト攻撃」にも注目が集まっています。これは、あるサービスから漏えいしたユーザーIDとパスワードを利用し、別のサービスへのログインを試みるというもの。複数のサービスで同じユーザーIDとパスワードを利用していて、そのうちのいずれかのサービスでユーザーID/パスワードが漏えいした場合、ほかのサービスに勝手にログインされてしまう危険性があります。

 実際、2013年5月にはYahoo! JapanのユーザーIDと暗号化されたパスワードが流出したことが発覚しました。パスワードが暗号化されていれば大丈夫だと思うかもしれませんが、実はここで使われている暗号は時間をかければ解読することが可能です。犯人はこのような情報を何らかの方法で入手し、その情報を使ってほかのサービスにログインできるかどうかをチェックしていくのです。

 実際に被害に遭った電子書籍販売サービスであるeBookJapanでは、… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

Bizコンパス編集部

Bizコンパス編集部

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter