Bizコンパス

個人向けストレージサービスの無断利用が危ない
2013.07.17

ITガバナンスの重要性~野放しITの大きなリスク第3回

個人向けストレージサービスの無断利用が危ない

著者 Bizコンパス編集部

個人向けストレージサービスが情報漏えいの原因に

 クラウド上に保存したファイルにパソコンやスマートフォンからアクセスできる「Dropbox」や、クラウドを通じてパソコンやスマートフォン間でメモを同期することができる「Evernote」など、個人でも使える便利なサービスが数多く登場しています。ただ、前回解説した事業部門での勝手なクラウド利用と同様、こうした個人向けサービスの勝手な利用も大きな問題となっています。

 実際に大きな問題となったのが、いくつかの省庁の内部情報がインターネット上に公開されていたという事件です。2013年7月に大きく報じられて明らかになったこの事件では、一部の省庁の職員が「Google グループ」と呼ばれるサービスを利用して、複数の職員間などで情報を共有していました。      Google グループには、ファイルを複数のユーザーで共有できるオンラインストレージの機能や、複数のユーザーとコミュニケーションを図るためのメーリングリストといった機能があり、これらを利用してやり取りしていた情報がインターネット上で誰でも閲覧可能な状態になっていたというのです。

 

ルールを無視して外部クラウドサービスを利用

 実はGoogle グループには、アップロードしたファイル、あるいはメーリングリストでやり取りしているメッセージについて、“公開”と“非公開”を設定する仕組みがあり、標準ではインターネット上に公開する設定となっています。それを知らず、非公開で設定せずに使い続けた結果、重要な情報が誰でも閲覧できる状態になっていました。

 しかし事の本質は、「Google グループを正しく設定して使わなかったこと」ではありません。それよりも、「省庁内のルールに従わず、勝手にGoogle グループを利用していたこと」が大きな問題なのです。このように、勝手にクラウドサービスを利用する状況が放置されれば、当然ながらガバナンスは失われ、守るべき情報が適切に保護されているかどうかを誰も確認することができなくなるでしょう。

 ルールを無視して外部クラウドサービスを利用

 

新たなリスクとなったパスワードリスト攻撃

 さらに最近では、新たなリスクとして「パスワードリスト攻撃」にも注目が集まっています。これは、あるサービスから漏えいしたユーザーIDとパスワードを利用し、別のサービスへのログインを試みるというもの。複数のサービスで同じユーザーIDとパスワードを利用していて、そのうちのいずれかのサービスでユーザーID/パスワードが漏えいした場合、ほかのサービスに勝手にログインされてしまう危険性があります。

 実際、2013年5月にはYahoo! JapanのユーザーIDと暗号化されたパスワードが流出したことが発覚しました。パスワードが暗号化されていれば大丈夫だと思うかもしれませんが、実はここで使われている暗号は時間をかければ解読することが可能です。犯人はこのような情報を何らかの方法で入手し、その情報を使ってほかのサービスにログインできるかどうかをチェックしていくのです。

 実際に被害に遭った電子書籍販売サービスであるeBookJapanでは、… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

関連する事例記事はこちらからご覧になれます

IT事例ライブラリー

SHARE

あなたへのおすすめ

今、注目の「クラウドサービス」とは?

2013.02.26

これで部下に自慢できる!最新IT・デジモノ用語解説第4回

今、注目の「クラウドサービス」とは?

ストレスフリーな帯域・容量を実現するサーバーとは

2012.12.17

万一の事態でも事業が継続できる体制を整えるには?第4回

ストレスフリーな帯域・容量を実現するサーバーとは

オンラインストレージとの賢い付き合い方

2012.10.16

システム管理者不足でも簡単導入&簡単運用

オンラインストレージとの賢い付き合い方

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

2019.05.17

セキュリティ対策に求められる新たな視点第5回

フォーティネットに聞く、2019年版サイバー攻撃の防ぎ方

あらゆるリスクを無害化する、「最強のセキュリティ対策」とは

2019.04.24

セキュリティ対策に求められる新たな視点第4回

あらゆるリスクを無害化する、「最強のセキュリティ対策」とは

みずほ情報総研が目指す、環境変化に即応可能なIT

2019.04.10

ビジネススピードを加速するIT基盤第20回

みずほ情報総研が目指す、環境変化に即応可能なIT

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

2019.04.05

セキュリティ対策に求められる新たな視点 第3回

SD-LANソリューションを活用して高知工科大学が構築した「学内LAN」とは

大手旅行会社も採用する次世代型リモートアクセス、アカマイ「EAA」とは

2019.03.27

セキュアなリモートアクセス環境を構築する手法

大手旅行会社も採用する次世代型リモートアクセス、アカマイ「EAA」とは

“国内データ保管”「Box」がさらにセキュリティ高く “VPN接続”にも対応

2019.03.22

金融機関や官公庁などのクラウド活用もさらに加速

“国内データ保管”「Box」がさらにセキュリティ高く “VPN接続”にも対応

聖域なきセキュリティ「ゼロトラスト・モデル」とは

2019.03.06

セキュリティ対策に求められる新たな視点第2回

聖域なきセキュリティ「ゼロトラスト・モデル」とは

2019年のITトレンドは?企業の動向を知るキーワード

2018.12.12

ビジネススピードを加速するIT基盤第17回

2019年のITトレンドは?企業の動向を知るキーワード