Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く

Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く サムネイル
Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く 画像1
Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く 画像2

今回は「Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く」についてご紹介します。

関連ワード (上杉謙二委員、事柄、判断等) についても詳細と、関連コンテンツとをまとめていますので、参考にしながらぜひ本記事について議論していってくださいね。

本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。例えば楽天は2020年12月、営業管理に利用していたSalesforce製品のセキュリティ設定にミスがあり、148万件以上の個人情報が漏えいした可能性があると発表。21年4月6日には、Trelloで管理されていたと思しきさまざまな企業の情報が、誰でも閲覧可能な状態になっていた。こちらも原因は公開設定のミスとみられている。

 これらの情報漏えいを受け、SaaSの利用停止を検討する企業も出てくるかもしれない。しかし、業務の効率化やDX(デジタルトランスフォーメーション)の推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。

 では、企業は一体どうすれば、情報漏えいにつながるミスを防ぎつつ、SaaSを使い続けられるのか。IT関連団体の連合体である日本IT団体連盟の丸山満彦主査(企業評価分科会)と上杉謙二委員(同)に聞いた。

特集:

企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいます。この特集ではSaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探ります。

“シャドーIT”を防ぐためにも導入前の整理が重要

 2人によれば、情報漏えいをせずにSaaSを使い続けるために、気を付けておくべき点が2つあるという。

 1つはSaaSの導入前、業務に必要な機能やその用途を整理し、不必要なツールや機能を採用しないことだ。この工程を怠ると、本来の業務に関係ない機能や、ユーザー企業の手に余るツールを利用せざるを得ない状況につながる。

 管理しにくいツールを使い続ければ、設定ミスが発生する可能性も上がり、情報漏えいのリスクが高まる。そうでなくても、ツールを安全に運用するため、他の企業や専門家のサポートを得るための手間やコストが発生する。

 使いにくいツールを利用し続けることは、“シャドーIT”が発生し、社員がどこでどんなツールを使っているか分からない事態にもつながる。こういったリスクを避けるためには、導入前に要件を絞り込んでおくことが不可欠という。

導入後はアップデートの確認を欠かさない

 もう1つはSaaSの導入後、アップデートをチェックを欠かさないことだ。

 多くのSaaSは、頻度の差はあれサービスをより良くするためにアップデートを行う。このとき、古いバージョンならデフォルトのままでも問題なかった設定が、新しいバージョンでは変更しておかないと情報漏えいにつながってしまう可能性がある。

 更新のたびに担当者などに通知が行き、内容を確認できる仕組みができていれば、この事態は防ぐことができる。一方で仕組み作りが不完全だったり、そもそも更新を無視していたりすると、重要なアップデートを見逃してしまい、情報漏えいにつながる恐れがあるという。

 「例えば一昔前のWindowsのバージョンアップでは、動かなくなるアプリケーションなどを確認する必要があったが、これと変わらない。範囲が広がって、チェックするべき事柄が増えただけ。基本的な仕事が重要」(上杉さん)

事業者側にも“説明責任”?

 丸山さんはユーザー企業だけでなく、SaaSを提供する事業者側にも、情報漏えいを減らすための工夫が必要と話す。

 「例えば100個の項目をアップデートしたとして、それを資料にそのまま貼り付けるのでは分かりにくい。重要な部分や情報漏えいにつながる部分を強調するなど、ユーザー企業側に配慮する必要がある」(丸山さん)

 こうすることで、ユーザー企業もツールを理解しやすくなり、事業者とのコミュニケーションが円滑になる。一方で、ユーザー企業側も事業者の説明をうのみにするだけでなく、自分たちでも確認を徹底するべきという。

 「クラウドツールの利用が広がるにつれ、『管理は事業者にお任せでOK』というイメージの人や、実際にそう説明する事業者が増えているかもしれない。しかし実態は違う。常に仕様は変わっていくものなので、ユーザー企業は確認を重ねていく必要がある」(丸山さん)

Copyright © ITmedia, Inc. All Rights Reserved.

COMMENTS


Recommended

TITLE
CATEGORY
DATE
細胞培養スタートアップ「インテグリカルチャー」が培養肉技術を活用し世界初のスキンケア化粧品原料を開発
バイオテック
2021-04-09 23:06
オンラインにリアル体験を ツアーや趣味講座に「体験型」続々
IT関連
2021-02-11 02:54
デンソーとKDDI、自動運転に5Gを活用する共同検証を開始
IT関連
2021-03-08 02:37
JAXAとNEC、静止軌道上でGPS航法を実現–「静止衛星用GPS受信機」を活用
IT関連
2021-02-25 03:22
NECら、新型コロナウイルスと結合する人工DNAアプタマーの開発に成功
IT関連
2021-05-10 10:40
Facebook、News Feedの表示ランク変更のためのテストを開始 見たくないものを表示しにくく
アプリ・Web
2021-04-27 10:23
IT産業がデジタルの可能性を引き出す新しい産業に生まれ変わる–日本ユニシスの平岡社長
IT関連
2021-03-26 17:05
Vue.js入門 基礎から実践アプリケーション開発まで
amazon
2021-03-26 17:05
IPA、ニューノーマルにおけるテレワークとIT業務委託のセキュリティ実態調査結果を公開
IT関連
2021-04-13 13:56
日経平均3万円でも「日本株は割安」と判断する理由
IT関連
2021-03-09 21:29
国会議員と国家公務員の打ち合わせ、今後はオンラインに 与野党が“対面自粛”で合意
企業・業界動向
2021-01-22 20:23
ソニーが「α7S III」ライクな映画撮影用カメラ「FX3」発表、最大13時間連続の4K撮影対応
ハードウェア
2021-02-25 21:07
赤ちゃんの顔をAIで予測 両親の顔写真をアップロードするだけで
ロボット・AI
2021-03-16 23:01
データミックス、「データサイエンティスト育成コース本講座」をリニューアル
IT関連
2021-04-06 13:36
日立が設備・サービスごとの再生可能エネルギー使用状況をスマートメーターとブロックチェーンで見える化
ブロックチェーン
2021-01-28 23:18
Vue.js入門 基礎から実践アプリケーション開発まで
amazon
2021-01-28 23:18