Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く

今回は「Salesforce、Trello……“設定ミス”で情報漏えい、どう防ぐ? 注意点を専門家に聞く」についてご紹介します。

関連ワード (上杉謙二委員、事柄、判断等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「Salesforce」や「Trello」といったSaaSの設定ミスに起因する情報漏えいが相次いでいる。例えば楽天は2020年12月、営業管理に利用していたSalesforce製品のセキュリティ設定にミスがあり、148万件以上の個人情報が漏えいした可能性があると発表。21年4月6日には、Trelloで管理されていたと思しきさまざまな企業の情報が、誰でも閲覧可能な状態になっていた。こちらも原因は公開設定のミスとみられている。

 これらの情報漏えいを受け、SaaSの利用停止を検討する企業も出てくるかもしれない。しかし、業務の効率化やDX(デジタルトランスフォーメーション)の推進が叫ばれる今、SaaSの利用を取りやめる判断は現実的ではない。

 では、企業は一体どうすれば、情報漏えいにつながるミスを防ぎつつ、SaaSを使い続けられるのか。IT関連団体の連合体である日本IT団体連盟の丸山満彦主査(企業評価分科会)と上杉謙二委員(同)に聞いた。

特集:

企業向けのクラウドサービスで、ユーザー側の設定ミスなどによる情報漏えいが相次いでいます。この特集ではSaaSのメリットやリスク、正しく使いこなすための心構えをあらためて探ります。

“シャドーIT”を防ぐためにも導入前の整理が重要

 2人によれば、情報漏えいをせずにSaaSを使い続けるために、気を付けておくべき点が2つあるという。

 1つはSaaSの導入前、業務に必要な機能やその用途を整理し、不必要なツールや機能を採用しないことだ。この工程を怠ると、本来の業務に関係ない機能や、ユーザー企業の手に余るツールを利用せざるを得ない状況につながる。

 管理しにくいツールを使い続ければ、設定ミスが発生する可能性も上がり、情報漏えいのリスクが高まる。そうでなくても、ツールを安全に運用するため、他の企業や専門家のサポートを得るための手間やコストが発生する。

 使いにくいツールを利用し続けることは、“シャドーIT”が発生し、社員がどこでどんなツールを使っているか分からない事態にもつながる。こういったリスクを避けるためには、導入前に要件を絞り込んでおくことが不可欠という。

導入後はアップデートの確認を欠かさない

 もう1つはSaaSの導入後、アップデートをチェックを欠かさないことだ。

 多くのSaaSは、頻度の差はあれサービスをより良くするためにアップデートを行う。このとき、古いバージョンならデフォルトのままでも問題なかった設定が、新しいバージョンでは変更しておかないと情報漏えいにつながってしまう可能性がある。

 更新のたびに担当者などに通知が行き、内容を確認できる仕組みができていれば、この事態は防ぐことができる。一方で仕組み作りが不完全だったり、そもそも更新を無視していたりすると、重要なアップデートを見逃してしまい、情報漏えいにつながる恐れがあるという。

 「例えば一昔前のWindowsのバージョンアップでは、動かなくなるアプリケーションなどを確認する必要があったが、これと変わらない。範囲が広がって、チェックするべき事柄が増えただけ。基本的な仕事が重要」(上杉さん)

事業者側にも“説明責任”?

 丸山さんはユーザー企業だけでなく、SaaSを提供する事業者側にも、情報漏えいを減らすための工夫が必要と話す。

 「例えば100個の項目をアップデートしたとして、それを資料にそのまま貼り付けるのでは分かりにくい。重要な部分や情報漏えいにつながる部分を強調するなど、ユーザー企業側に配慮する必要がある」(丸山さん)

 こうすることで、ユーザー企業もツールを理解しやすくなり、事業者とのコミュニケーションが円滑になる。一方で、ユーザー企業側も事業者の説明をうのみにするだけでなく、自分たちでも確認を徹底するべきという。

 「クラウドツールの利用が広がるにつれ、『管理は事業者にお任せでOK』というイメージの人や、実際にそう説明する事業者が増えているかもしれない。しかし実態は違う。常に仕様は変わっていくものなので、ユーザー企業は確認を重ねていく必要がある」(丸山さん)

Copyright © ITmedia, Inc. All Rights Reserved.

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Teslaのイーロン・マスクCEOに新たな公式肩書「テスラのテクノキング」
企業・業界動向
2021-03-17 10:26
IDaaSを東京データセンターで提供へ–日本IBMがセキュリティ事業戦略
IT関連
2021-03-10 15:39
マイクロソフト、無料でRPAをWindows 10ユーザーに提供開始/Excelの数式をプログラミング言語にした「Power fx」登場/「Flutter 2」公開、ほか2021年3月の人気記事
編集後記
2021-04-05 01:00
プライバシー重視を追い風に快進撃中の検索エンジン「DuckDuckGo」がブラウザとしても使えるデスクトップアプリ開発
ソフトウェア
2021-06-20 00:52
NISAとつみたてNISA、どちらが良い?–個別株投資ならNISA、少額・積み立て投資ならつみたてNISA
IT関連
2021-03-17 16:22
メルカリが暗号資産・ブロックチェーン領域参入、新会社「メルコイン」は暗号資産交換業者として申請予定
フィンテック
2021-04-03 17:29
「マンダロリアン」シーズン2撮影用のリアル空間を創り出す巨大な高解像度LEDディスプレイをILMが公開
ハードウェア
2021-04-03 14:00
「チャージ完了してる?」 ポケモンGOでモバイルバッテリーの無料貸出クーポン配布 「ChargeSPOT」のポケストップで
くらテク
2021-03-18 13:23
SBG孫社長、失踪報道のジャック・マー氏とは「個人的な趣味の話をしている」
企業・業界動向
2021-02-09 07:24
「ウマ娘」シナリオライター募集 現場スタッフによる採用セミナーも
くらテク
2021-06-24 08:48
国内企業のAI活用、リーダー企業とフォロワー企業で格差進む–IDC調査
IT関連
2021-03-17 00:57
ビジネスを止めないIaaSの冗長化、どんな種類がある? まずは“サービスの品質目標”を考える
クラウドユーザー
2021-08-21 14:52
メルカリ、ユニクロ製品の転売対策に本腰 ファーストリテイリングと発売時期などを共有
企業・業界動向
2021-03-19 05:06
メールがなくなってしまえば脅威はなくなる? インシデントはメールとWebから、というけれど :サイバーセキュリティ2029(1/2 ページ)
セキュリティ
2021-07-31 04:16