【情報セキュリティ回#7】クラウド利用時の権限設定に要注意。
「SNSやクラウドサービス初回利用時のアクセス権限を設定しましょう」
この1フレーズをご一読いただけただけで、本note の目的達成です。
なぜ、初回利用時のアクセス権限設定が必要か
なぜなら、クラウドは世界とつながっていて、世界中からアクセスできるためです。世界中からアクセスできる環境に、大事なデータやプライベートなデータを保管しています。
あえて世界中に公開して見てほしい情報もあるでしょう。一方で見せたくない情報もあるでしょう。
・見てほしい情報なのに、世界中に公開していない
・見せたくない情報なのに、世界中から見られてしまう
上記の状態では、せっかくの環境が期待通りの成果を発揮しないです。特に、「見せたくない情報なのに、世界中から見られてしまう」ことのリスクは甚大です。
ビジネスにおいては、資産となりうる情報の流出による損害やお客様との信頼関係の崩壊による機会損失など、いいことがありません。
見せたくない情報が見えてしまう理由その1
予期せず見せたくない情報が見えてしまう要因の1つが、初期設定です。全てではないですが「全世界公開」とが初期設定となっているケースがあります。
権限設定の誤りで、情報が全世界から参照できてしまっていた事例は、企業の規模や業種に依らず、都度発生してニュースとして報道されています。具体的な企業名は伏せますが、以下の事例が過去に報道・確認されています。
例1:管理するデータの一部が、クラウド環境の誤設定により、公開状態となっていた。外部から参照できた期間は2013年11月~2023年4月の期間。
例2:ある学内で使用のクラウドサービス内に保存されていたファイルが設定ミスにより、担当者のみ限定ではなく学生や職員にも閲覧可能だった。該当ファイルの中身は会議資料や入試関係資料で、その一部には氏名やメールアドレス、成績などの個人情報が含まれていた
例3:イベント参加申込フォームに設定ミスがあり、個人情報が第三者閲覧可能な状態にあったことを発表しました。アンケートフォームの設定ミス+更にそのフォームを流用したことで合計数十のフォームが同じように参照できてしまう状態となった
見せたくない情報が見えてしまう理由その2
更に注意が必要なのが、長期間利用時の人為設定によるリスクです。
初回で誤った設定となってしまったら、時を経るごとに「おかしい」と気づける人がいなくなります。担当が変わったら更に気づくことに対する難易度がアップします。現在の担当者は、前任者が意図してそうしたのか、誤ってそうしたのかが分かりません。
担当からすると「前任がそうしていたから」な理由で現状維持を許容します
上記について、今の担当が悪いわけではないです。「前任がそうしていた」は、思考停止して現状を許容するのに最適な理由(言い訳とも言えるかもしれません)です。この事象は、人間が生き延びるために脳が他の思考を優先して思考の能力を使うために選択してしまう本能的な症状です。
加えて実際の利用中に使いづらいことから、初期設定を変えてリスク高い状態にしてしまう可能性があります。実際にそのような事象による情報漏えい報道も過去にありました。
見せたくない情報が見えてしまう理由その3
クラウドは自前ではなく外部サービスを利用し、そのサービスに情報を預けることで利用できます。クラウドのような外部サービスは、都度機能変更や追加機能を行います。その結果、設定が変わる可能性があります。
上記のようなクラウド全体の変更は、自社1社だけは変更の意思決定は覆すことは困難です。つまり、これは自助努力による防衛には限界があります。
まとめ
以上3点の理由から、クラウド利用するのであればデータにアクセスできる権限設定をしっかり行いましょう。しかも初回だけでなく定期的に見直しましょう。これは企業だけでなく個人利用の場合も同じです。SNSの例で、初期設定でケータイの電話番号を公開してしまうような例もあります。
情報漏えいが実際に発生した後、「あの時ああしていればよかった」「その設定がどんなリスクを及ぼすか、を知らなかった」故の後悔ほど、哀しすぎることはありません。
あなたが発信している媒体やツールを全てを確認してみましょう。過去にさかのぼって設定変えることはタイムマシンがない限り困難です。一方で、今日から始まる未来を変更するためには現在地点での行動がカギを握ります。
未来のリスク回避のためにも、現在の権限設定を1つずつ確実にチェックしましょう。この姿勢も信頼関係構築のためには重要な取り組みとなります。
以上です