クラウドサービスを安全に利用するポイントとは(3/3) | 中小企業サイバーセキュリティフォローアップ事業

2024.08.01

クラウドサービスを安全に利用するポイントとは(3/3)

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
前回まで2回にわたって「クラウドサービスを安全に利用するポイント」について解説しました。


シリーズの最後となる今回は、実際にクラウドサービスで起きた事故の事例から、「クラウドサービスを安全に利用するポイント」に従った利用者側の対応について解説します。
(前回までの内容はこちらでご覧いただけます。「もっと知りたい! セキュリティ」)

1.クラウドサービス事故の事例

(1)事故の概要

  • M社の提供するSaaS形態の社会保険/人事労務業務クラウドサービスが、2023年6月に第三者からの不正アクセスを受けた。
  • サービスを提供しているデータセンター上のサーバーがランサムウェアに感染し、管理されていた個人情報が暗号化され、漏えいのおそれが発生した。
  • 当サービスは、主に社労士が利用する業務システムで、社会保険申請、給与計算、人事労務管理等の業務に利用する。
  • 取り扱われていた個人情報は、社労士の顧客である企業や事業所等の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号、マイナンバーなどが含まれる。
  • M社によれば2024年3月時点では個人情報の悪用などの二次被害は確認されていない。


(2)事故の規模

M社によるサービスの利用実績は以下のとおり。

  • 社労士事務所:2,754事業所(2023年4月1日時点)
  • 管理事業所:約57万事業所(2023年4月1日時点)
  • 管理する個人情報人数:最大約2,242万人(2023年6月5日時点)


個人情報保護委員会※1が受領した漏えい等の報告件数※2は以下のとおり。

  • 2023年6月から2024年3月までに受領した漏えい等報告件数は報告者ベースで3,067件
    (個人情報人数計7,496,080人)
  • 大部分は社労士事務所からの提出で、顧問先事業者との連名報告の形が多かった。


内訳は、社労士事務所等が2,459件(人数計6,724,609人)、顧問先事業者が404件(人数計392,125人)、企業等が204 件(人数計379,346人)


※1 内閣府の外局として個人の権利利益を保護するため、個人情報の適正な取扱いの確保を図ることを任務とする、独立性の高い機関

※2 個人情報保護委員会Webサイトから
   https://www.ppc.go.jp/personalinfo/legal/leakAction/#about

 下記の要件に該当する場合、漏えい等報告が義務付けられています。
 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ※3 (当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む)の漏えい等(又はそのおそれ)

【例1】不正アクセスにより個人データが漏えいした場合

【例2】ランサムウェア等により個人データが暗号化され、復元できなくなった場合


※3 個人データとは、個人情報保護法において、個人情報データベース等(特定の個人情報を容易に検索できるようにしたもの)を構成する個人情報のことをいいます。

かなり大きなクラウドサービス事故だったことがわかります。このため、M社のサービスを利用していたユーザが受けた影響も小さくなかったことでしょう。

ここからは、「クラウドサービスを安全に利用するポイント」に従って、この事態に直面した利用者側ではどのような対応が必要となるのかを解説します。

2.「クラウドサービスを安全に利用するポイント」に従った利用者側の対応

インターネット上でのサイバー攻撃は年々巧妙化しているため、クラウドサービス提供者も利用者も、完全に事故を防ぐことは難しくなっています。そこで、予期せぬ事故が起きた場合に、利用者に発生する被害や影響を最小限に止めるにはどうしたらいいか、事例を基に「クラウドサービスを安全に利用するポイント」の該当項目から解説します。

※カッコ内は前回「クラウドサービスを安全に利用するポイント」のNo.です。

取り扱う情報の重要度を確認する(No.3)
事例M社のサービスは、マイナンバーを含む個人情報を取り扱います。個人情報を取り扱うサービスの利用者は、クラウドサービス側で発生した事故であっても管理責任を問われる立場にあるため、あらかじめ次の体制を整備しておきましょう。 ・迅速に本人や顧客への報告、謝罪、補償や関係者への連絡ができるようにしておく ・個人情報保護委員会への報告ができるようにしておく
クラウドサービスの安全・信頼性を確認する(No.6)
事例M社の公表資料によると、「システムやサービスにアクセスできない状況」から「サービス再開」まで約2か月かかっています。サービスの利用者は、この間、必要な業務を止めることはできず、他の手段で実施せざるを得ませんでした。 利用しているクラウドサービスが停止すると業務への影響が大きい場合には、事故や障害によるサービス停止を想定し、停止期間中も業務が遂行できるように代替手段を準備しておきましょう。
利用者の認証を厳格に行う(No.9)
個人情報保護委員会の公表資料によると「M社においては、ユーザのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった」とあります。ここでの” ユーザのパスワードルールが脆弱“とは、ユーザがサービスにログインするためのパスワードが脆弱であっても登録できる、ということです。正当なユーザであっても脆弱なパスワードを使っていると、第三者に類推され不正アクセスされる可能性があります。 パスワードによる認証は、多くのサービスで用いられていますが、パスワードによる認証を突破する攻撃手法は年々高度化しています。従ってサービスを利用するにあたっては、4桁数字のような脆弱なパスワードが設定可能であっても、自主的に強固なパスワードを設定し、以下の認証方式が提供されている場合は、必ず利用しましょう。

1.パソコンに電子証明書をインストールする。
2.パスワードだけでなく複数の要素(記憶、所持、生体情報)を用いた認証方式である「多要素認証」や、同じ要素の認証を多段で実施する認証方式である「多段階認証」を利用する。
  ※)特定のパソコンからしかサービスにアクセスできないようにするための「身分証明書」

  <参考 強固なパスワード>
・パスワードは10文字以上で「できるだけ長く」、大文字、小文字、数字、記号を含めて「複雑に」、名前、電話番号、誕生日、簡単な英単語などは使わず、推測できないように する。
・同じID・パスワードを複数サービス間で使い回さない。
バックアップに責任を持つ(No.10)
事例ではランサムウェアに感染して個人情報が暗号化されています。復旧方法は公表されていませんが、ランサムウェアに感染すると、確実に復旧する方法はバックアップから復元するしかありません。 利用しているクラウドサービスのバックアップについて確認するとともに、不十分な場合は、利用者側でも前月・2ヶ月前・3ヶ月前のように複数世代のバックアップを、社内のハードディスク・テープ等複数の装置・媒体やクラウドストレージ等遠隔地のサーバーに保存し、確実に復元ができるようにしましょう。  

<参考 バックアップの3-2-1ルール>※1
 3. データを3つ保存
 2. バックアップファイルを異なる2種類の媒体に保存
 1. 1つをオフライン※2に保管  

※1『3分で分かる!セキュリティ用語解説』でも詳しく解説していますので、ご興味のある方はこちらもご覧ください。 「3-2-1ルール」【3分でわかるセキュリティ用語解説 #1】  
※2パソコンがランサムウェアに感染するとLANで接続しているサーバー内のバックアップも同時に感染することがあります。
利用終了時のデータを確保する(No.13) 利用していたクラウドサービスで事故があり、他のクラウドサービスに変更する場合に備え、必要に応じてデータをパソコンなどにダウンロードして、利用できるようにしておきましょう。 また、利用していたクラウドサービスに機密情報や個人情報が残らないように完全に消去しましょう。


なお、本稿は、個人情報保護委員会公表資料及び独立行政法人情報処理推進機構(IPA)が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」を参考に解説しています。

メルマガ
登録はこちら
アーカイブ
動画はこちら
ページトップへ戻る