Bizコンパス

個人向けストレージサービスの無断利用が危ない
2013.07.17

ITガバナンスの重要性~野放しITの大きなリスク第3回

個人向けストレージサービスの無断利用が危ない

著者 Bizコンパス編集部

個人向けストレージサービスが情報漏えいの原因に

 クラウド上に保存したファイルにパソコンやスマートフォンからアクセスできる「Dropbox」や、クラウドを通じてパソコンやスマートフォン間でメモを同期することができる「Evernote」など、個人でも使える便利なサービスが数多く登場しています。ただ、前回解説した事業部門での勝手なクラウド利用と同様、こうした個人向けサービスの勝手な利用も大きな問題となっています。

 実際に大きな問題となったのが、いくつかの省庁の内部情報がインターネット上に公開されていたという事件です。2013年7月に大きく報じられて明らかになったこの事件では、一部の省庁の職員が「Google グループ」と呼ばれるサービスを利用して、複数の職員間などで情報を共有していました。      Google グループには、ファイルを複数のユーザーで共有できるオンラインストレージの機能や、複数のユーザーとコミュニケーションを図るためのメーリングリストといった機能があり、これらを利用してやり取りしていた情報がインターネット上で誰でも閲覧可能な状態になっていたというのです。

 

ルールを無視して外部クラウドサービスを利用

 実はGoogle グループには、アップロードしたファイル、あるいはメーリングリストでやり取りしているメッセージについて、“公開”と“非公開”を設定する仕組みがあり、標準ではインターネット上に公開する設定となっています。それを知らず、非公開で設定せずに使い続けた結果、重要な情報が誰でも閲覧できる状態になっていました。

 しかし事の本質は、「Google グループを正しく設定して使わなかったこと」ではありません。それよりも、「省庁内のルールに従わず、勝手にGoogle グループを利用していたこと」が大きな問題なのです。このように、勝手にクラウドサービスを利用する状況が放置されれば、当然ながらガバナンスは失われ、守るべき情報が適切に保護されているかどうかを誰も確認することができなくなるでしょう。

 ルールを無視して外部クラウドサービスを利用

 

新たなリスクとなったパスワードリスト攻撃

 さらに最近では、新たなリスクとして「パスワードリスト攻撃」にも注目が集まっています。これは、あるサービスから漏えいしたユーザーIDとパスワードを利用し、別のサービスへのログインを試みるというもの。複数のサービスで同じユーザーIDとパスワードを利用していて、そのうちのいずれかのサービスでユーザーID/パスワードが漏えいした場合、ほかのサービスに勝手にログインされてしまう危険性があります。

 実際、2013年5月にはYahoo! JapanのユーザーIDと暗号化されたパスワードが流出したことが発覚しました。パスワードが暗号化されていれば大丈夫だと思うかもしれませんが、実はここで使われている暗号は時間をかければ解読することが可能です。犯人はこのような情報を何らかの方法で入手し、その情報を使ってほかのサービスにログインできるかどうかをチェックしていくのです。

 実際に被害に遭った電子書籍販売サービスであるeBookJapanでは、… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

この記事で紹介しているサービスについて

SHARE

関連記事

今、注目の「クラウドサービス」とは?

2013.02.26

これで部下に自慢できる!最新IT・デジモノ用語解説第4回

今、注目の「クラウドサービス」とは?

ストレスフリーな帯域・容量を実現するサーバーとは

2012.12.17

万一の事態でも事業が継続できる体制を整えるには?第4回

ストレスフリーな帯域・容量を実現するサーバーとは

オンラインストレージとの賢い付き合い方

2012.10.16

システム管理者不足でも簡単導入&簡単運用

オンラインストレージとの賢い付き合い方

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

2019.09.27

DXを加速させるITシステムの運用改革第11回

脱エクセル!ServiceNowとTenableで脆弱性管理の自動化を実現

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

VPNとは何か?その用途や問題点は?

2019.09.11

今知っておきたいITセキュリティスキルワンランクアップ講座第15回

VPNとは何か?その用途や問題点は?

社員同士の学びを推進する、スマホを使ったKUMON独自の「働き方改革」

2019.09.04

働き方改革&生産性向上のカギはどこにある?第12回

社員同士の学びを推進する、スマホを使ったKUMON独自の「働き方改革」

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは