独立行政法人情報処理推進機構(IPA)の技術本部セキュリティセンターは、公式サイトで「今月の呼びかけ」を毎月公開している。2月分では「『知らない間に情報を外部に漏らしていませんか?』~クラウドサービスを利用する上での勘所~」と題し、「クラウドサービス利用時の情報漏えいの危険性」について触れた。
たとえば文字変換のIME(アイエムイー)に中には、「クラウド変換機能」などと呼ばれるクラウドサービスのものがある。これはユーザーが変換候補を効率的に得るために、サービス提供者はIMEのキー入力内容をサーバーに受信するが、その際、ユーザーが外部に公開してはいけない情報までも入力内容として外部に漏れてしまうケースがあるという。
「クラウド変換機能」は設定で無効にすることが可能で、無効の場合は情報漏えいの心配はない。現在、利用できるIMEに「クラウド変換機能」が備わっているか、同機能が有効か無効かを確認し、必要に応じて無効にする必要があるだろう。
ほかにも情報漏えいの危険性があるクラウドサービスの事例として挙がっているのは「オンライン翻訳サービス」。同サービスでは、翻訳したい文書をWebページにコピー&ペーストすると、サービス事業者側の翻訳プログラムが自動的に翻訳するのだが、コピー&ペーストした翻訳元文書を外部に送信する形となるため、その文章が機密情報に該当する場合は「機密情報の外部送信」にあたってしまう。
ブラウザ上でメールの送受信を手軽に行えるフリーのWebメールも、メールの内容はサービス事業者のサーバー上にあるため、仮にIDとパスワードが破られるとメールの内容が第三者に漏えいする可能性がある。文書や写真、動画ファイルを保存・共有できるオンラインストレージサービスもWebメールと同様の危険性が想定される。
利用しているサービスがクラウドベースであるか、セキュリティ面でどのような対策があるのか、きちんと確認したうえで情報漏えいが行らないように利用することが肝心だ。なお、IPAでは公式サイトで「クラウドサービス安全利用のすすめ」というページを用意しているので参考にしたい。
さまざまなクラウドサービスの例
