NTTコミュニケーションズ

Bizコンパス

個人向けストレージサービスの無断利用が危ない
2013.07.17

ITガバナンスの重要性~野放しITの大きなリスク第3回

個人向けストレージサービスの無断利用が危ない

著者 Bizコンパス編集部

個人向けストレージサービスが情報漏えいの原因に

 クラウド上に保存したファイルにパソコンやスマートフォンからアクセスできる「Dropbox」や、クラウドを通じてパソコンやスマートフォン間でメモを同期することができる「Evernote」など、個人でも使える便利なサービスが数多く登場しています。ただ、前回解説した事業部門での勝手なクラウド利用と同様、こうした個人向けサービスの勝手な利用も大きな問題となっています。

 実際に大きな問題となったのが、いくつかの省庁の内部情報がインターネット上に公開されていたという事件です。2013年7月に大きく報じられて明らかになったこの事件では、一部の省庁の職員が「Google グループ」と呼ばれるサービスを利用して、複数の職員間などで情報を共有していました。      Google グループには、ファイルを複数のユーザーで共有できるオンラインストレージの機能や、複数のユーザーとコミュニケーションを図るためのメーリングリストといった機能があり、これらを利用してやり取りしていた情報がインターネット上で誰でも閲覧可能な状態になっていたというのです。

 

ルールを無視して外部クラウドサービスを利用

 実はGoogle グループには、アップロードしたファイル、あるいはメーリングリストでやり取りしているメッセージについて、“公開”と“非公開”を設定する仕組みがあり、標準ではインターネット上に公開する設定となっています。それを知らず、非公開で設定せずに使い続けた結果、重要な情報が誰でも閲覧できる状態になっていました。

 しかし事の本質は、「Google グループを正しく設定して使わなかったこと」ではありません。それよりも、「省庁内のルールに従わず、勝手にGoogle グループを利用していたこと」が大きな問題なのです。このように、勝手にクラウドサービスを利用する状況が放置されれば、当然ながらガバナンスは失われ、守るべき情報が適切に保護されているかどうかを誰も確認することができなくなるでしょう。

 ルールを無視して外部クラウドサービスを利用

 

新たなリスクとなったパスワードリスト攻撃

 さらに最近では、新たなリスクとして「パスワードリスト攻撃」にも注目が集まっています。これは、あるサービスから漏えいしたユーザーIDとパスワードを利用し、別のサービスへのログインを試みるというもの。複数のサービスで同じユーザーIDとパスワードを利用していて、そのうちのいずれかのサービスでユーザーID/パスワードが漏えいした場合、ほかのサービスに勝手にログインされてしまう危険性があります。

 実際、2013年5月にはYahoo! JapanのユーザーIDと暗号化されたパスワードが流出したことが発覚しました。パスワードが暗号化されていれば大丈夫だと思うかもしれませんが、実はここで使われている暗号は時間をかければ解読することが可能です。犯人はこのような情報を何らかの方法で入手し、その情報を使ってほかのサービスにログインできるかどうかをチェックしていくのです。

 実際に被害に遭った電子書籍販売サービスであるeBookJapanでは、… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

この記事で紹介しているサービスについて

SHARE

関連記事

今、注目の「クラウドサービス」とは?

2013.02.26

これで部下に自慢できる!最新IT・デジモノ用語解説第4回

今、注目の「クラウドサービス」とは?

ストレスフリーな帯域・容量を実現するサーバーとは

2012.12.17

万一の事態でも事業が継続できる体制を整えるには?第4回

ストレスフリーな帯域・容量を実現するサーバーとは

オンラインストレージとの賢い付き合い方

2012.10.16

システム管理者不足でも簡単導入&簡単運用

オンラインストレージとの賢い付き合い方

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

なぜニューノーマル時代に「ゼロトラストモデル」が求められるのか

2020.10.16

ニューノーマル時代のネットワーク技術革新第2回

なぜニューノーマル時代に「ゼロトラストモデル」が求められるのか

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

2020.05.15

テレワーク導入の“壁”を解決第5回

在宅勤務に潜む「情報漏えい」の恐怖をどう防ぐ?

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第20回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント