ESET/マルウェア情報局
クラウドストレージ利用時のセキュリティーリスクと実例、そして対策
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Googleドライブなどのクラウドストレージを使う際のセキュリティ対策」を再編集したものです。
ビジネスにおいて私たちがやり取りするデータ量は年々増加。大半はメールでのやり取りだが、大容量データを扱う際にはGoogle ドライブなどのクラウドストレージが利用されることも少なくない。中には個人で契約しているクラウドストレージを、会社の許可なく利用しているシャドーIT的な利用も散見される。そこで本記事では、クラウドストレージを利用する際のセキュリティー対策について、事例も交えながら具体的に解説する。
Google ドライブをはじめ、ユーザー数が増加している「クラウドストレージ」とは
クラウドストレージの中でもとりわけ知名度が高いのはGoogle ドライブだろう。2014年にサービスが開始され、2018年にはグローバルのユーザー数が10億人を突破。Googleアカウントさえあれば、難しい設定も不要で誰でも無料でファイルのアップロードや共有ができるため、またたく間に広がった。Google ドキュメントやGoogle スプレッドシートなどとシームレスに連携し、ドキュメントの作成、編集、保存などもブラウザー上で行える。
そもそもクラウドストレージとはオンラインストレージとも呼ばれ、インターネット上にドキュメントや写真、動画といった、あらゆるファイルを保存することができるサービスだ。単にファイルを保管するだけでなく、編集や共有も可能で、中には共同編集ができるサービスもある。また、マルチデバイスに対応し、同期設定も行なえるなど、利便性の高い機能が次々と追加されており、上手く使いこなすことができればビジネスにおいて強い味方となる。
このようなクラウドストレージはGoogle ドライブの他にもMicrosoftのOneDriveや、Dropbox、AppleのiCloud Driveなど多くのサービスが存在する。2018年に実施されたICT総研の調査によると、2015年度に3447万人だった国内におけるクラウドストレージのユーザーは、2020年度には5169万人に達する見通しだ。
図1: 個人向けクラウドストレージサービスの調査規模(ICT総研調べ)
また、この調査ではその用途についても聞いており、下記の通り「ビジネス文書」の割合が一定数あることにも着目したい。
図2: 個人向けクラウドストレージサービスの用途(ICT総研調べ)
改めてとなるが、会社から許可されていないクラウドストレージを業務利用することは、シャドーITと呼ばれる行為に該当し、場合によっては法的責任を問われることがある。クラウドストレージはさまざまな用途で利用されているが、業務利用、個人利用どちらであってもこのようなリスクが存在することには留意したい。
情報セキュリティー意識に関する実態調査レポート~把握しておくべき『シャドーIT』の実態について~
https://eset-info.canon-its.jp/malware_info/trend/detail/200313.html
クラウドストレージ利用に潜むセキュリティリスク
クラウドストレージ利用に潜むセキュリティーリスクとは具体的にはどのようなものか。クラウドストレージは、インターネットに接続する以上、下記のようなリスクを避けて通ることはできない。
・サーバーダウン(物理的なリスク:提供会社側)
利用しているクラウドストレージのサーバーそのものが、何らかの理由でダウンしてしまった場合、サービスが停止し重要なデータに一時的にアクセスできない、また最悪の場合は消失してしまうといったことが起こり得る。仮にサービス停止が長期間に及ぶと、業務に大きな支障をきたすのは想像に難くない。
・標的型攻撃と不正アクセス(サイバー攻撃のリスク:提供会社側)
機密データなどの窃取を目的に特定の企業などを狙う標的型攻撃や不正アクセスなど、サイバー攻撃のリスクはクラウドストレージでも高まっている。膨大な量の機密データが保存されている可能性があるクラウドストレージは、当然ながらその運営企業自体が標的となりやすい。クラウドストレージがそのシステムの脆弱性を突かれ、侵入されてしまうと、悪意のある第三者によって重要な機密データが盗まれるなど、大規模な情報漏えいが起こりうる。
・情報漏えい(本人による人的なリスク:ユーザー側)
情報漏えいはハッカーによるサイバー攻撃だけとは限らない。クラウドストレージに保存した機密データの共有用URLを誤送信する、あるいは共有設定を間違えるといった人為的なミスによる情報漏えいも、十分に起こり得ることと考えたい。
・アカウントの不正利用(個人をターゲットにした攻撃リスク:ユーザー側)
ユーザー側の端末がマルウェアに感染してしまうことで、アカウント情報が不正に利用されてしまう可能性がある。ユーザーが気づかないように、バックグラウンドで密かに端末内からクラウドストレージのデータを転送するということもありうる。また、一時的に端末から目を離した際に他人がアカウント情報を盗み見て悪用するようなことも否定できない。
ここまで、4つの観点でセキュリティーリスクを述べたが、このような事態にユーザーが巻き込まれた場合、どのような罪に問われるのだろうか。
ユーザーはどのような罪に問われるのか
まず、単にデータを持ち出しただけでは罪に問われることはまずない。注意すべきことは、そのデータが「営業秘密」に該当するかどうかだ。仮に「営業秘密」を持ち出した場合は不正競争防止法違反に問われる可能性がある。詳しくは社内データ持ち出しに関するこちらの記事も参考にしてもらいたい。しかしながら、「営業秘密」でなかったとしても、データの持ち出しによって会社が不利益を被った場合には、民法にもとづく損害賠償責任を負う可能性が高い。例えば、個人で契約しているクラウドストレージで情報漏えいが起きてしまい、それによって企業が損害を被った場合には、たとえ意図せざる事故であったとしても責任は問われるだろう。セキュリティーリスクだけでなく、犯罪となりうるということは、しっかりと心に留めておきたい。
クラウドストレージで実際に起きた事件
企業規模の大小を問わず、クラウドストレージにおける情報漏えいや不正アクセスは、過去に数多く発覚している。一例を紹介する。
・2012年に発生したアカウント情報の流出
2012年、米国クラウドストレージ運営企業が不正アクセスを受けパスワードを含むユーザーのアカウント情報が漏えい。その数は6800万件以上になるという。社員がパスワードを使いまわしていたことが原因で、悪意のあるハッカーの侵入を許してしまった。現在、運営企業ではパスワードをより厳重に管理し、すべての社内システムで二要素認証を必須にしているとされる。
・2012年に発生した大規模データ消失
2012年6月、レンタルサーバー事業を営む国内企業で大規模なデータ消失が発生。対象となったのはオープンソースソフトウェアで構築されたサービスなど。原因はシステムメンテナンス用バッチの不具合で、サーバー上のデータ、設定データ、メールボックス内のデータが消えたことでユーザーに大きな混乱を与える結果となった。
・2012年に発生したリージョンダウン
2012年7月、米国クラウドサービス企業の西欧州サブリージョンが約2時間半にわたりダウンした。データ消失はなかったが同リージョンで稼働していたサービスが一時的な停止を余儀なくされた。原因は容量追加作業の際に起きた人為的なミスだといわれる。この企業の運営するサービスはクラウドサービスを代表するひとつと認知されているが、いかに有名なサービスであってもこのような事故は起こり得る。
・2013年に起きた官公庁での機密データの漏えい
2013年7月、環境省、復興庁、農林水産省、国土交通省、厚生労働省でクラウドストレージにおけるファイル共有設定のミスにより、内部のメールやファイルが誰でも見られる状態となっていた。これらの情報には各省庁の機密データだけでなく、医療機関の患者情報など、個人情報も含まれていたことが当時、問題視された。
・2014年に報告されたクラウドストレージのセキュリティーホール
2014年7月に米国企業のクラウドストレージにおいて、データ流出に関するセキュリティーホールが報告された。クラウドストレージ上のファイルに記載されたURLを経由してウェブサイトに訪問すると、そのウェブサイトの管理者がアクセスログなどを通じてドキュメントのURLを取得でき、認証を受けることなくファイルを閲覧できた。
・2014年に発表されたダウンロードページURLの漏えい
2014年4月、国内ポータルサイト会社の広告主向けの広告配信先レポート上で、クラウドストレージのダウンロードページURLが閲覧可能な状況になっていたと発表された。対象サービスは二つの国内クラウドストレージサービス。ダウンロードページに同社が運営する広告配信機能による広告が掲載されており、この配信先レポート内にダウンロードページURLが記載されていた。
・2019年に起きた不正アクセスによる個人情報流出
2019年1月、国内の老舗クラウドストレージサービスで480万件以上におよぶ顧客情報が漏えいした。運営元の企業によると、原因はサーバーの脆弱性を突いた不正アクセスだという。同社はサービス提供を停止しており、本記事執筆時点でも再開されず、廃止も含めた検討がなされているといわれる。
・2019年に報告されたバニティURL問題
2019年3月、米国のサイバーセキュリティー企業がクラウドストレージ大手のサービスにおけるバニティURLが抱える問題についてレポートした。バニティURLとはキーワードや名前など短くてわかりやすい文字で構成されたURLのこと。調査によると、こうしたURLをファイルやフォルダの共有リンクに設定し、かつリンクを一般公開としていた場合、辞書攻撃によってURLを特定され、ファイルへのアクセスを許してしまうリスクがあるという。
このように、クラウドストレージは常にサイバー攻撃の危険にさらされており、情報漏えい事故は国内外で後を絶たない。予期せぬトラブルに巻き込まれないためにも、正しい対処法を知り、心構えをしておくことが肝要だ。
クラウドストレージを利用する際のセキュリティー対策
冒頭でも述べたように、クラウドストレージそのものは非常に利便性が高く、業務の生産性をあげるならば利用しない手はない。セキュリティーに留意し適切な対策を講じ、正しく利用したい。
・サービスのセキュリティー対策を把握する
クラウドストレージを利用する際には、そのサービスのセキュリティー対策について事前に把握しておきたい。ファイルの転送時や保存の際に暗号化がなされているか、ウイルスチェックは行なわれているか、パスワードやアクセス権などの設定が可能か、またデータの冗長化やデータセンターの運用体制など、各社のウェブサイトで必ずチェックするようにしてほしい。中には、アップグレードプランでより強固なサービスを提供している企業もある。
・ファイルのアクセス範囲を制限、管理する
多くのクラウドストレージでは簡単な操作でファイルを共有することが可能となっている。しかしながら、ファイルの共有先には十分注意したい。URLだけでファイルにアクセスできてしまうケースもあり、意図せずして情報漏えいが起きてしまう可能性もある。また、相手先を間違って共有してしまうこともよくあるミスなので注意したい。また、サービスによっては共有の有効期限を設定できるものもある。一時的な共有であれば、こうした時限設定機能の活用も心がけたい。
・適切なパスワードを設定する
クラウドストレージの中でもファイル転送系サービスを利用する際には、必ずパスワードを設定するようにしてほしい。ウェブサイトではさまざまなトラッキングが行われており、それらのトラッキングにおいてクラウドストレージのダウンロードURLが紛れ込んでしまう可能性もあるからだ。
・自前でファイルの暗号化も行う
クラウドストレージではファイルの転送や保存時に暗号化をしているケースが一般的だが、さらにセキュリティーを強固にするならばアップロードするファイルそのものを自分で暗号化することだ。Windows 10ではマウス操作のみでファイルの暗号化が可能だ(Windows 10 Homeを除く)。また、パスワードを設定する際にはその長さにも注意したい。8桁のパスワードが安全とされたのは随分と昔のことだ。数字だけでなく英語や記号も加え15文字程度が安全性の面からも推奨される。
・データのバックアップをとる
万が一、何らかの理由でサーバーからデータが消失してしまった場合に備えて、クラウドストレージとは別の方法でファイルのバックアップを用意しておくことは非常に有効だ。現在は数テラバイトのハードディスクも1万円以下で購入できるものがある。最近は定期的なバックアップ機能を有する製品もあるので、積極的に活用したい。
・二段階認証を利用する
IDやパスワードなどのアカウント情報が何らかの方法で漏えいしてしまうと、不正アクセスの被害に遭う可能性が高まる。こうした事故を未然に防ぐためにも、二段階認証プロセスを有効にしておこう。Googleをはじめ、クラウドストレージを提供するサービスの多くがこうした認証に対応している。
・共有端末での利用時に注意を払う
インターネットカフェやホテル、コワーキングスペースなどには共有端末としてインターネット利用が可能なパソコンがある。こうした端末でクラウドストレージを利用する際には、開いたファイルはもちろん、アクセスしたウェブサイトの履歴、キャッシュも必ず削除すべきだ。また共有端末、という視点から公衆Wi-Fiでの利用もできるなら避けたい。公衆Wi-Fiの中にはセキュリティー対策が適切でないものもあり、通信をのぞき見されデータを盗み出されることもありうる。
クラウドストレージのリスクから身を守るために
クラウドストレージの利用にさまざまなリスクがあることはすでに述べた。では、これらのリスクから身を守るためにはどうすればよいだろうか。ひとつは前述の通り、適切なセキュリティー対策をとることだ。そしてもうひとつは、社内データ、特に営業秘密にあたる情報や個人情報などは、クラウドストレージにアップしないことだろう。シャドーITを行なうことでセキュリティーリスクだけでなく法的リスクも背負うことになるからだ。会社のルール、規定を遵守し許可された範囲内のツールを活用し仕事をすることは、結果として自分自身を守ることにつながる。もし、どうしても業務に支障がでる場合には、思い切って社内の情報システム部門やセキュリティー部門に相談することをお勧めしたい。最も確実なセキュリティ対策は、情報セキュリティーのプロを味方につけることだ。
また、シャドーITについては、経済産業省やIPA(情報処理推進機構)をはじめ、さまざまな対策が提示されている。シャドーIT対策についてはこちらの記事も参考にしてほしい。
社内の規定で許可されないツールを使用して持ち帰り残業をした結果、法的責任を背負いこむのでは割に合わないだろう。各企業における規定を遵守しながら、クラウドストレージの利便性をフル活用できるようにしていきたい。