Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く

今回は「Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く」についてご紹介します。

関連ワード (上杉謙二委員、事柄、判断等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。例えば楽天は2020年12月、営業管理に利用していたSalesforce製品のセキュリティ設定にミスがあり、148万件以上の個人情報が漏えいした可能性があると発表。21年4月6日には、Trelloで管理されていたと思しきさまざまな企業の情報が、誰でも閲覧可能な状態になっていた。こちらも原因は公開設定のミスとみられている。

 これらの情報漏えいを受け、SaaSの利用停止を検討する企業も出てくるかもしれない。しかし、業務の効率化やDX(デジタルトランスフォーメーション)の推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。

 では、企業は一体どうすれば、情報漏えいにつながるミスを防ぎつつ、SaaSを使い続けられるのか。IT関連団体の連合体である日本IT団体連盟の丸山満彦主査(企業評価分科会)と上杉謙二委員(同)に聞いた。

特集:

企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいます。この特集ではSaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探ります。

“シャドーIT”を防ぐためにも導入前の整理が重要

 2人によれば、情報漏えいをせずにSaaSを使い続けるために、気を付けておくべき点が2つあるという。

 1つはSaaSの導入前、業務に必要な機能やその用途を整理し、不必要なツールや機能を採用しないことだ。この工程を怠ると、本来の業務に関係ない機能や、ユーザー企業の手に余るツールを利用せざるを得ない状況につながる。

 管理しにくいツールを使い続ければ、設定ミスが発生する可能性も上がり、情報漏えいのリスクが高まる。そうでなくても、ツールを安全に運用するため、他の企業や専門家のサポートを得るための手間やコストが発生する。

 使いにくいツールを利用し続けることは、“シャドーIT”が発生し、社員がどこでどんなツールを使っているか分からない事態にもつながる。こういったリスクを避けるためには、導入前に要件を絞り込んでおくことが不可欠という。

導入後はアップデートの確認を欠かさない

 もう1つはSaaSの導入後、アップデートをチェックを欠かさないことだ。

 多くのSaaSは、頻度の差はあれサービスをより良くするためにアップデートを行う。このとき、古いバージョンならデフォルトのままでも問題なかった設定が、新しいバージョンでは変更しておかないと情報漏えいにつながってしまう可能性がある。

 更新のたびに担当者などに通知が行き、内容を確認できる仕組みができていれば、この事態は防ぐことができる。一方で仕組み作りが不完全だったり、そもそも更新を無視していたりすると、重要なアップデートを見逃してしまい、情報漏えいにつながる恐れがあるという。

 「例えば一昔前のWindowsのバージョンアップでは、動かなくなるアプリケーションなどを確認する必要があったが、これと変わらない。範囲が広がって、チェックするべき事柄が増えただけ。基本的な仕事が重要」(上杉さん)

事業者側にも“説明責任”?

 丸山さんはユーザー企業だけでなく、SaaSを提供する事業者側にも、情報漏えいを減らすための工夫が必要と話す。

 「例えば100個の項目をアップデートしたとして、それを資料にそのまま貼り付けるのでは分かりにくい。重要な部分や情報漏えいにつながる部分を強調するなど、ユーザー企業側に配慮する必要がある」(丸山さん)

 こうすることで、ユーザー企業もツールを理解しやすくなり、事業者とのコミュニケーションが円滑になる。一方で、ユーザー企業側も事業者の説明をうのみにするだけでなく、自分たちでも確認を徹底するべきという。

 「クラウドツールの利用が広がるにつれ、『管理は事業者にお任せでOK』というイメージの人や、実際にそう説明する事業者が増えているかもしれない。しかし実態は違う。常に仕様は変わっていくものなので、ユーザー企業は確認を重ねていく必要がある」(丸山さん)

Copyright © ITmedia, Inc. All Rights Reserved.

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NTTぷらら、個人情報最大800万件が漏えいした可能性 「ひかりTV」受信機の配達先住所など
セキュリティ
2021-07-03 15:26
マイクロソフト、7月の月例パッチ–「Pwn2Own」で発見された脆弱性も修正
IT関連
2021-07-14 16:29
生成AIプロジェクト、3分の1が2025年までに中止か–ガートナー予測
IT関連
2024-09-05 07:14
ContractS、「ContractS CLM」で「Slack」からの契約作成依頼・相談を可能に
IT関連
2024-02-07 22:56
Facebookの幹部、「二極化はアルゴリズムのせいではない」と長文Mediumで擁護
企業・業界動向
2021-04-02 14:13
「Intel is Back」はなるか–インテル、半導体製品の生産計画を明らかに
IT関連
2021-07-28 06:45
Opera、「Chromebookに最適化された世界初の代替ブラウザー」に
IT関連
2021-07-06 20:56
三井住友FGと電通、“金融ビッグデータ”活用で新会社設立
DX
2021-07-09 20:47
トリドールHD、クラウド型経理業務変革プラットフォーム導入
IT関連
2022-08-30 21:42
「オラクル史上最大」の変化は製品からサービスへの移行
IT関連
2021-08-12 03:16
GrafanaとCiliumが戦略的提携。eBPFベースの強力な可観測性のCiliumとGrafanaの統合を推進
eBPF
2022-11-07 00:32
モバイルバッテリーが月額1100円で借り放題 シェアリングサービスのChargeSPOTが実験
企業・業界動向
2021-07-03 16:14
スマホを臨床的に認められた血圧計にするアプリをSiri開発者と科学者の「Riva Health」が開発中
ヘルステック
2021-04-05 12:15
iPad上でWindows 3.1が動作、DOS用ゲームが遊べる「iDOS 2」アプリを利用しインストール
ソフトウェア
2021-07-15 20:55