増え続ける個人情報漏洩事件

インターネット上で「個人情報漏洩」というキーワードで検索をかけるとさまざまな事件が出てきますが、最近でいうと日本年金機構の事件が記憶に新しいと思います。これは標的型攻撃という外部からの不正アクセスによる犯行です。

こういった外部からの攻撃以外に実は内部犯行による情報漏洩も多いのですが、そちらの対策は再委託先などの管理を含む内部統制の整備とその徹底にあると思いますので、今回は外部からの攻撃をいかに防ぐかという観点で現状の課題と解決への道筋を提示したいと思います。

いずれにせよ、企業として情報漏洩が1件でも発生してしまうと社会的な信用が落ち、顧客離反がいっせいに起こって売り上げも下がります。悪い企業イメージというものは簡単には覆らないため、しっかりとした事後対策を公表し、地道にビジネスを続けていくことで時間をかけて信用を回復していくしかありません。

ファイルサーバの危険さ

日本年金機構の事件や標的型攻撃の詳細については検索すれば出てくるのでここでは説明を割愛します。次世代ファイアウォールやサンドボックスを利用しても、現在のテクノロジーでは外部からの攻撃を完全に防ぐことは不可能とされているため、各企業は標的型攻撃でPCが乗っ取られたときまで想定した対策を考えておくことが重要です。

現在、社内でやりとりされるファイルは社内のファイルサーバに格納されていることが一般的だと思います。日本年金機構のケースでは、個人情報が含まれるファイルはパスワードをかけてファイルサーバに置いておくという運用ルールだったそうですが、それが徹底されておらず、個人情報が含まれるファイルがパスワードがかかっていない状態で外部に流出してしまいました。

これを「運用のずさんさ」と一言で片付けることもできますが、人間ですから常にミスは起こりえます。パスワードをかける運用ではなく、システム的に情報漏洩が発生しえないファイル管理を行うのがベストな対策になります。

標的型攻撃によりPCがウイルスに感染した場合、攻撃者は感染PCをボット化し、該当PCからアクセス可能な範囲のファイルを外部に持ち出そうとします。ファイルサーバにファイルがあると、そのスクリプトで操作が可能なため簡単に流出してしまうことになります。

また、ファイルサーバの場合は誰がいつアクセスしてどんな操作を行ったのかOS標準のログでは操作内容を把握することが難しいため、いざ情報漏洩事件が発生したときに調査が難航する場合があります。

ファイルサーバに代わる基盤の必要性

そこで情報漏洩を防ぐ手段として、個人情報などの機密情報はファイルサーバではなく安全なクラウドで管理しようと考える企業が増えてきました。Boxをはじめとしたクラウドサービスの場合、仮にPCがのっとられたとしても以下の3つの理由により攻撃者はクラウドサービス内のファイルにはアクセスできないため、ファイルを外部に持ち出すことができなくなります。

  1. 攻撃者が該当PCのブラウザを操作しようとしてその時点で該当ユーザがクラウドサービスにログインしていない場合、ログインのための認証が必要になります。通常、攻撃者は該当ユーザのユーザIDとパスワードはわからないですし、スマートフォンを活用した二要素認証を実装していれば本人でなければログインできなくなります(クラウドサービスを利用する場合、セキュリティの観点から二要素認証の実装をオススメします)。

  2. 攻撃者が該当PCのブラウザを操作しようとしてその時点で該当ユーザがクラウドサービスにログインしている場合、理論上はマウスを操作してファイルをダウンロードすることができるようになります。ただし、1の場合にも当てはまるのですが該当ユーザは目の前で勝手にマウスが動くため、その時点でのっとられたことに気付きます。また、きめ細かいアクセス制御が可能なクラウドサービスであれば、そもそも機密情報が格納されているフォルダには一般ユーザはプレビュー権限しか与えないといった管理が可能なので、どのような手法でもダウンロードはできなくなります。

  3. 攻撃者が該当PCからAPI経由でクラウドサービスにアクセスしようとした場合、まず最初にAPIキーが必要になりますが、一般的には管理者が開発者用サイトにログインして所定の手順を踏まないとAPIキーは生成できないため、APIキーまで攻撃者の手に渡ることは常識的には考えにくいです。

図1. Boxの場合「標的型攻撃の手法と影響範囲」

最近は標的型攻撃以外にもランサムウェアというキーワードを聞くことが多いと思います。ランサムウェアは簡単に説明すると感染したPCからアクセス可能な範囲のファイルを暗号化して身代金を要求し、支払いが完了したら復号化されるというウイルスです。これもファイルサーバの場合は多くの被害をもたらしますが、クラウドサービスを利用すれば上記と同じ理由でランサムウェアの対策にもなるため、機密情報を厳格に管理したい企業でこういったクラウドサービスを全社導入する例が増えてきました。

私はCIOの方から直接お話を聞く機会も多いのですが、「ここだけの話、うちはかなりやられています」と打ち明けられたことは一度や二度ではありません。特に国家機密の情報を扱うような企業では海外の攻撃者があの手この手で日々攻撃してくるので、情報漏洩対策は喫緊の課題でした。これまでは解決策がなかったのですが、安全なクラウドサービスが登場したことにより、ようやくその対策が取れるようになりました。

CIO/CSOの役割

このような状況の中、情報漏洩対策はどの企業でも最優先に着手すべき事項だと思いますが、こういったセキュリティ対策は投資対効果が見えにくいことと実際に事件が発生しないとその重大さが認識しにくいといったこともあり、積極的に対策に取り組んでいる企業はまだまだ少ない印象を受けます。

セキュリティ戦略を担当するCSO(チーフ・セキュリティ・オフィサー)というポジションは今後必須になると想定されていますが、日本ではほぼ皆無に等しい状況です。一般的にCEOはセキュリティやITには疎いと思いますので、現状ではCIOの方が「もし個人情報の漏洩事件が発生したら」というケースを想定し、事業に与えるインパクトとその対策案をCEOに提言するべきです。

「個人情報漏洩」というキーワードで検索してみてください。事件を起こした企業がいったいどれだけのダメージを受け、いまだに回復できずにいるのかよくわかると思います。対策は待ったなしです。

次回の予告

今回は現状のファイル管理の課題とクラウドサービスの安全性について説明をしましたが、次回はもう一段掘り下げて、先進的なコンテンツマネジメントが具体的にどのようにセキュリティ強化を実現できるのかご紹介させていただこうと思います。どうぞお楽しみに。

株式会社Box Japan
セールスエンジニアリングマネジャー
志村裕司