作成日:2021年02月15日 更新日:2021年02月16日

オンラインストレージのセキュリティ事故|事例と対策

オンラインストレージのセキュリティ事故|事例と対策

実際に起きたオンラインストレージのセキュリティ事故とは?事例を紹介するとともに、オンラインストレージに潜むセキュリティリスクや、セキュリティ事故を防ぐための対策を紹介します。

オンラインストレージとは

オンラインストレージ(クラウドストレージ)とは、インターネット上にファイルを保管をするサービスのことです。
従来はハードディスクやUSBメモリ、CD-R、DVD-Rなどを用いてデータを保管するのが主流とされていましたが、PCやスマートフォン、タブレットなどから手軽にファイルを保管・共有できることから人気を集めています。

また、ICT総研による「2020年 クラウドストレージサービス市場動向調査」では2022年度には市場規模が857億円ほどに成長すると予測されるなど、今後も利用者の拡大が見込まれます。

オンラインストレージに潜むセキュリティリスク

オンラインストレージにはさまざまなメリットがある一方で、その性質から常にセキュリティリスクを抱えています。

ここからは、オンラインストレージの代表的なリスクを解説していきます。

サーバーダウン

オンラインストレージでは提供元が管理・運用するサーバーにファイルを保管することになるため、何らかの理由によってサーバーがダウンしてしまった場合でも自社で復旧作業をすることができません。

サーバーダウンの主な原因としては、サイバー攻撃やハードウェアの故障、システムの不具合などがあげられます。しかし、いずれにしてもサーバーがダウンしてしまった時は復旧までオンラインストレージを利用することができず、最悪の場合は保管しているデータを消失することになる恐れも。復旧に時間がかかるほど業務に支障をきたすことになり、損失が生まれる可能性もあります。

サイバー攻撃

さまざまな企業の機密情報が大量に保管されるいると考えられるオンラインストレージは、提供元がサイバー攻撃の対象になることも珍しくありません。

使用しているオンラインストレージのセキュリティが十分でない場合は、外部からの攻撃やアカウントの不正利用などによる情報漏えいが起こる可能性があります。外部のサービスを利用していたとはいえ、万が一顧客情報や給与情報、営業計画書といった機密情報の漏えいが発生した際には顧客からの信頼を大きく失うことになり、社会的なイメージダウンも避けられないのではないでしょうか。

情報漏えい

NPO日本ネットワークセキュリティ協会の「2018年 情報セキュリティインシデントに関する調査報告書」によると、2018度に発生したセキュリティ事故は「(オンラインストレージなどにログインしたままの端末の)紛失・置き忘れ」「誤操作」を原因とするものが約半数。サービスを提供する企業へのサイバー攻撃だけでなく、利用企業側のヒューマンエラーによる情報漏えいリスクも否定できません。

また、複数にわたって情報漏えいが起きた企業はその対応で業務を一時停止することとなり、最悪の場合は損害賠償請求や行政指導に発展する恐れも。企業イメージの低下も避けられず、将来的には業績悪化につながることもあるでしょう。

アカウントの不正利用

ウイルス感染やパスワードリスト攻撃、通信の盗聴などによってオンラインストレージのID・パスワードが第三者に盗まれた場合は、不正アクセスによる情報漏えいが発生するリスクが高まります。

セキュリティ対策に不足のあるサービスを利用している場合は、外部からの攻撃だけでなく従業員によって機密情報が持ち出される可能性があるのも事実です。自己判断で無料のオンラインストレージを使用する従業員や、無断で私用のスマートフォンでアカウントにアクセスする従業員もいるかもしれません。

デバイスを問わず、IDとパスワードを入力するだけでログインができるのはメリットである反面、大きなリスクでもあるのです。

オンラインストレージ関連のセキュリティ事故事例

さまざまなリスクが潜むオンラインストレージでは、過去にセキュリティ事故も発生しています。

ここからは、実際に起きたオンラインストレージ関連のセキュリティ事故について解説します。

サービスベンダーによる事例

はじめに紹介するのは、オンラインストレージの提供企業によるセキュリティ事故の事例です。

米国にあるオンラインストレージ提供企業・A社では、プログラマーのミスで約4時間にわたってパスワードなしですべてのアカウントにアクセスできる状況になってしまったという事故が起きました。

A社の公表によると、障害の原因はコードアップデートをきっかけとしたバグが発生したこと。この事故を重く受け止め、再発防止を図るためにさらなるセーフガードを実装するという声明を発表しています。

海外データセンターにおける事例

米国のデータセンター運営企業・B社は「パトリオット法(愛国者法)」によって予告なしにFBIからの急襲を受け、すべてのデータセンターのシャットダウンを命じられました。令状によって機材もすべて押収され、50社以上の顧客が突然データベースやメールにアクセスできなくなるという事態に。さらには、通信企業が顧客に含まれていたことから、緊急通報電話がつながらなくなる被害にもつながりました。

また、スウェーデンでも違法サイトに関する機材をデータセンターから押収した際に、該当のwebサイトと無関係のwebサイトが多数ダウンしてしまったという事例があるようです。

国内サーバによる事例

国内のホスティングサーバー企業・C社では、従業員の作業ミスによってサーバー内のデータを消失してしまうセキュリティ事故が発生しました。
5,500以上の顧客のデータが失われ、大半の復旧が困難という事態に。多くの法人や官公庁関連の組織がC社のサービスを利用していましたが、顧客に対してバックアップデータを用いた復旧を依頼するほかなくなったのです。

バックアップデータを保有していた顧客企業は比較的早期での復旧が叶いましたが、復旧のめどが立たない企業も多数。顧客のなかにはグループウェアを提供している企業もあり、ユーザーの顧客情報やスケジュールといった情報も失うなど、大きな被害を生みました。

設定ミスによる事例

最後に紹介するのは、2013年に国内で起きたセキュリティ事故の事例です。

厚生労働省や国土交通省、農林水産省など5つの官公庁の内部データやファイルが誰でも閲覧できる状態になっていたセキュリティ事故の原因は、オンラインストレージのファイル共有設定のミスでした。
各省庁の機密情報が含まれていただけでなく、医療機関の患者情報をはじめとした個人情報も公開状態となっていたため、大きな問題となりました。

セキュリティ事故を防ぐための対策

オンラインストレージのセキュリティ事故を避けるためには、サービス体制だけでなく利用企業側の対策も重要です。

ここからは、セキュリティ事故のリスクを低減しながらオンラインストレージを運用していくためのポイントを解説していきます。

法人利用で無料オンラインストレージは利用しない

法人でオンラインストレージを導入する場合は、無料サービスの使用は避けるべきだといえます。

無料サービスは法人のファイル管理に必要なセキュリティを備えておらず、セキュリティ事故の発生リスクが上がるだけでなく、トラブルが発生した際のサポートも手薄です。また、従業員が個々にアカウントを作成して使用することになるため、アカウントの一元管理が困難。利用料が無料であっても、管理の手間やリスクを踏まえれば「費用対効果が高い」とはいえません。

信頼できる提供会社を選ぶ

オンラインストレージを導入する際には、提供元の情報もしっかりと確認することをおすすめします。

なかでも「国内サーバーを利用しているか」と「マルチテナント方式ではないか」は重要なポイント。マルチテナント方式のサービスは、ハッキングされた場合はすべて見られてしまうので注意が必要です。

また、情報セキュリティ管理基準に沿って運営されているかも目安となるので、webサイトや資料におけるISMS(情報セキュリティマネジメントシステム)や、国際標準規格ISO/IEC 17799、日本工業規格 JIS Q 27002などの表記の有無も確認するとよいでしょう。

自社セキュリティポリシーの強化と遵守

オンラインストレージを導入する際は、自社のセキュリティポリシー強化・遵守も重要です。すでにセキュリティポリシーが定められている場合は再度確認を、現状で存在しない場合は新たに定めた上で内容を遵守した運用を行いましょう。

なお、経済産業省のwebサイトではクラウドセキュリティに関する複数のガイドラインが公開されており、ダウンロードも可能。なかでも「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」にはクラウドセキュリティに関する考え方がまとめられているので、オンラインストレージの選定にも役立つのではないでしょうか。

セキュリティに関する機能をチェックする

オンラインストレージを実際に導入する際は、ファイルの暗号化やアクセスログ管理、各要素認証、ウイルスチェックなどセキュリティ対策機能の有無を事前にしっかりと確認するのも大切なポイントです。

ここからは、各セキュリティ機能について解説していきます。

ファイルの暗号化

ファイル暗号化とは、特殊な形式にファイルを変換することで第三者からの操作を防ぐセキュリティ機能です。万が一オンラインストレージ内のファイルが流出してしまった場合でも、ファイルが暗号化されていれば中身が見られることはありません。

SSL暗号化通信

SSL暗号化通信は、インターネット上の通信の暗号化によって第三者のなりすましや盗聴、データ改ざんなどを防止する機能です。より安全にアップロード・ダウンロードすることができます。

アクセスログ管理

アクセスログ管理機能では、オンラインストレージ上で「誰が・いつ・どのファイルを操作したのか」の把握が可能です。情報漏えいが発生した際に原因が追跡できるだけでなく、内部不正の抑止にも役立つでしょう。

多要素認証

IDやパスワードによる認証にくわえて、指紋認証やSMS認証といった複数の認証を組み合わせて使用できるため、不正アクセスの防止につながります。

IPアドレス制限

あらかじめ指定されたIPアドレスだけがオンラインストレージにアクセスできる環境にすることで、外部からのアクセスのシャットアウトが可能。「社内ネットワークでしかアクセスできないようにしたい」という場合に欠かせない機能です。

ウイルスチェック

ファイルのアップロード・ダウンロード時にウイルス感染の有無を確認する機能です。ウイルスチェックは自動的に行われるので、手軽かつ安全にファイルを管理することができます。

法人向けオンラインストレージを利用する

本記事では、オンラインストレージに潜むリスクや、セキュリティ事故を防ぐための対策を解説するとともに、セキュリティ事故の事例を紹介してきました。

オンラインストレージは手軽にファイルの管理・共有ができる一方で、さまざまなセキュリティリスクを抱えているという側面があるものです。サイバー攻撃の手法も多様化を続けていますが、オンラインストレージを提供する企業側もセキュリティレベルへの強化を図り、安全なサービス環境の維持に努めています。

オンラインストレージを導入する際はセキュリティ対策に注力しているサービスを選ぶことも重要ですが、利用する企業側もセキュリティポリシーの策定や強化を行い、それに則った運用をする必要があるでしょう。