オンラインストレージのセキュリティリスクと過去の事故事例
2021年3月18日公開 (最終更新日:2021年3月18日)
ファイル共有の際に便利なオンラインストレージサービスは、潜在的なセキュリティリスクを適切に把握した上で利用する必要があります。万一セキュリティリスクが顕在化すると、大きなセキュリティ事故に陥りかねません。
本記事では、オンラインストレージのセキュリティリスクや、過去のセキュリティ事故事例について解説していきます。
目次
1. オンラインストレージのセキュリティリスクとは
オンラインストレージとは、サーバーにファイルをアップロードしてデータをやり取りするサービスのことです。ログイン認証や複雑な共有URLなどでファイルを授受するため、通常であれば安全にデータを送受信することが可能です。
しかし最近では、サイバー攻撃や社内からの情報漏洩が問題になっています。オンラインストレージはインターネットにつながっており、情報を抜き取られてしまう危険は拭えません。安全に機密情報を取り扱うためにも、企業はオンラインストレージのセキュリティリスクを把握して適切な対策を取らなければいけません。
不正アクセス起因の情報漏洩リスク
不正アクセスは、近年インターネットで問題になっているサイバー攻撃の1つです。文字通り、サーバーやPCに第三者が不正にアクセスして、情報の窃盗・改ざんをします。インターネット上にあるものすべてが標的となるため、オンラインストレージも例外ではありません。業種を問わずインターネットに繋げて業務を行うすべての企業は、機密情報が漏洩しないように、不正アクセス対策を行わなければいけないのです。
サーバーへの不正アクセスについては、ベンダーのセキュリティ対策が関わってきます。ベンダーにもさまざまな事業会社やサービスがありますが、無料サービスよりも有料サービスの方がセキュリティに関する情報を開示している場合が多く、安全性の判断材料を揃えやすいです。とはいえ、有料だから高セキュリティであるとは一概には言えません。サービスを提供している事業会社の選定は慎重に行いましょう。
さらに、不正アクセスを防止するために、FirewallやWeb Application Firewall(WAF)、EDR(エンドポイントセキュリティ)といった不正アクセスを検知・遮断できるシステムが組み込まれ、Web脆弱性へしっかり対応したサービスを利用することが望ましいといえます。
また、所有しているアカウントが不正にアクセスされることもあるので、認証も強固なものにしなければいけません。他サービスで使用した認証パスワードは使いまわさず、新たに複雑なパスワードにしたり、多要素認証機能のあるサービスを活用したりするなどの有効な対策を講じる必要があります。
サーバー停止リスク
データセンターを活用するサービスは、サーバーが停止する危険にさらされた状態にあります。オンラインストレージを利用している時にサーバーがダウンしてしまうと、大事なデータを喪失したり業務がストップしたりするので注意が必要です。
主な要因となるのは、「ハードウェアの障害」「アクセスの集中」「サイバー攻撃」「災害」などです。このうちハードウェアの障害やアクセスの集中は、単純な機器故障のほか、サーバーのメンテナンスに起因したり、ベンダーの予想を超えてアクセスが多くなったりすることで起こります。
このような問題はベンダーのサーバー管理に起因するため、冗長化や負荷分散をしているサービスの方がトラブルは起こりにくいといえます。同様にサイバー攻撃や災害によるトラブルについても、ベンダーによって対策が異なります。
Dos攻撃やDDos攻撃といったサイバー攻撃は意図的にサーバーに高負荷をかけて、サービスをパンク状態にするものです。運用・保守のレベルが高いベンダーは、しっかりと対策をしています。災害対策も同様で、メインのシステムとは別に、遠隔地のデータセンターにバックアップがされるなど、一カ所で問題が起きても稼働ができるようにしているサービスが安心です。
サーバー停止リスクもさまざまありますが、ユーザーができる対策としては、信用のおけるベンダーやサービスを選択することが重要です。
機密情報へのアクセス
海外のデータセンターを利用するサービスの場合、その国の公の機関によって正当な理由で機密情報にアクセスされる可能性があります。アメリカには、米国愛国者法という法律が存在します。これはテロ行為から国を守るための法律で、テロへの関与が疑われる人や物に対して素早い措置を行えるようにしたものです。
愛国者法505条では、裁判所の令状がなくても通信サービスプロバイダーなどにデータの提出を求められると定めています。そのため、ユーザーが利用しているデータセンターにテロに関する疑念がある場合は、自分のデータにアクセスできなくなるだけではなく、米国の機関にデータを入手されてしまう恐れがあるのです。
取得されたデータで問題が起きたとしても、その解決の場には海外の裁判所が指定されます。海外の法廷で争うとなると、海外の法律を熟知した弁護士の確保など、大変な負担が予想されます。珍しいこととはいえ、リスクの1つとして法人は考慮しておかなければいけません。
一方日本では、裁判官や裁判所による強制処分や、マルウェア感染などで管理運営上やむを得ない場合を除き、クラウド事業者が利用者のデータにアクセスすることを禁止する規定を契約条項として明記することを推奨しています。経済産業省がまとめた「クラウドセキュリティガイドライン活用ガイドブック
」に、契約の具体的な内容例と解説が記載されていますので、ユーザーがサービス事業者を選定する際の参考として活用できます。
(参照元PDF72ページ:
https://www.meti.go.jp/policy/netsecurity/downloadfiles/cloudseckatsuyou2013fy.pdf)
2. 法人向けオンラインストレージの過去のセキュリティ事故事例
オンラインストレージでは、いくつかのセキュリティインシデントが発生しています。ここでは実際の事例をもとに、どのような問題が発生したのかを紹介していきます。
米インターネット検索大手のオンラインサービスのセキュリティ障害(2009年)
アメリカの大手検索エンジンが提供するサービスで、非公開であるはずのドキュメントが共有されてしまうという不具合が発生しました。原因は判明していませんが、過去に共有を行ったことのあるユーザーが、非公開のドキュメントを閲覧できたようです。
共有相手が一部だったことから、当時160万人のユーザーに対して0.05%と小規模の範囲で影響があったとされています。不具合は当日中に解消されました。
範囲がいくら小規模であっても、機密情報の漏洩は絶対に避けなければいけない問題です。ベンダーの不具合の場合はユーザー個人で対策することが困難ですが、トラブルが起きてしまった際の周知方法などを事前に確認しておきましょう。
米有名オンラインストレージによるセキュリティ障害(2011年)
アメリカの大手無料オンラインストレージサービスでセキュリティ障害が発生しました。この障害では、パスワードを使用しないでアカウントにアクセスできるという問題が4時間に渡って起きたのです。これはメールアドレスさえ知っていればどのアカウントにもアクセスできる状態であったため、障害の中でも大きな問題であったといえます。
原因は、プログラマによるコードのアップデートミスです。幸いこの障害による情報漏洩問題の報告はありませんでしたが、このような問題を避けるためにも、法人であれば法人向けサービスの利用を推奨します。
無料のサービスはコストがかからず利便性がよいのですが、認証におけるセキュリティリスクが高くなります。対して、有料のサービスでは、二段階認証やIPアドレスによるログイン制限、生体認証など強固なログイン制限機能をもつものもあり、不正アクセスに関するリスクが軽減できます。
国内大手企業が運営するサービスによる個人情報の流出(2011年)
2011年には、日本の大手企業が提供するサービスにおいて個人情報の流出が確認されました。原因はサイバー攻撃によるもので、サーバーの異常な動きを検知して調査した結果、情報が流出したことが判明したのです。
漏洩したのは、名前、住所、メールアドレス、生年月日などのアカウント登録情報です。何人の情報が流出したのかは明らかにされていませんが、流出当時7,700万人のユーザーがいたため、最大でそれだけの情報が流出した可能性があるとされています。もしこれだけの人数が流出したのであれば、個人情報が流出した事件として大規模なものです。
ハッカー集団の攻撃による情報漏洩は、近年大きな問題の1つとなっています。大規模な組織による犯行のため、対策をしても突破されてしまう可能性もあります。さまざまな対抗策がありますが、セキュリティを突破されてしまった時の対策としては機密情報の暗号化があげられます。
サーバー上にデータを平文(非暗号化)の状態で保存しておいた場合は中身が一目瞭然ですが、暗号化しておけば内容が保護されます。オンラインストレージサービスには、データを暗号化して保存するものもあるので、セキュリティ対策として有効です。
3. セキュリティにも強いBizストレージ ファイルシェアがおすすめ
オンラインストレージサービスを提供している事業会社の選定がいかに重要であるかということは、過去の事例からも明らかです。
NTTコミュニケーションズが提供している「Bizストレージ ファイルシェア」は、安全にデータを送受信できる法人向けファイル転送・共有サービスです。これまで挙げてきたサービス事業者側の問題としてのセキュリティリスクを回避できるうえ、ユーザー側がセキュリティ対策を施す際にもさまざまな機能が利用できます。
一貫したセキュリティ体制
NTTコミュニケーションズは、NTT-CERT(NTTの研究所内所属)にて世界中のCSIRTやセキュリティチームと連携し情報セキュリティの管理を徹底しています。また、「電気通信事業における個人情報保護に関するガイドライン」を遵守するために、社内で規定や管理体制の整備、従業員の教育、個人情報への不正アクセスなど防止に関する適切な措置を、見直しも含めて継続的に行っています。
法人向けファイル転送・オンラインストレージサービスである「Bizストレージ
ファイルシェア」はグローバル統一の300項目以上の「設備基準」「サービス運用基準」に準拠した国内自社データセンター内にシステムを構築しています。また、世界16カ国、1,500名のセキュリティ専門家による総合リスクマネジメントサービス「WideAngle」でセキュリティリスクを低減しています。このように万全な機能を備えることで、お客さまからセキュリティ機能と安定性に高い評価を得ています。
※ご契約中のお客さますべてを対象にアンケートを実施(最新実施時期:2020年3月4日~2020年3月17日)
豊富なセキュリティ対策機能
Bizストレージファイルシェア(https://www.ntt.com/business/services/application/online-storage/bst-sh.html)は、豊富なセキュリティ対策機能を提供しています。近年被害が多くなっている不正アクセスに対してはFirewallやWeb Application Firewall(WAF)、EDR(エンドポイントセキュリティ)の導入により、迅速な検知と遮断が可能です。また、SSL/TLSによる暗号化通信とファイルの暗号化保存機能によって、企業の大事なデータを守ります。
さらに「IPアドレス」「ログイン失敗回数」「日付・曜日・時間帯」「ログインパスワードのポリシー・有効期間設定」の4つのログイン制限によりアカウントを保護します。通信と認証による突破を防ぐことで、不正アクセスによる情報漏洩を軽減するのです。
内部からの不正を防ぐ対策も充実しています。まず従業員による不正なデータ取得を防ぐために、ファイルの送受信や共有フォルダーに対して制限がかけられます。重要なデータへのアクセス権限設定を一部のユーザーに限定することで、不正なデータ取得のリスクが軽減します。
インシデント防止対策として、メール送信を一度保留して上長の承認を必要とすることも可能です。従業員がファイル送信の相手を間違えてしまっても、上長の承認時にミスを防ぐことができます。また、ログを確認することができるので、情報の操作をチェックできます。ログデータは、有料オプションの統計情報サービスを利用した場合、オプション契約日から無期限でさかのぼることが可能です。
安全性・安定性の高いシステム構成
Bizストレージ
ファイルシェアは、高い安全性、安定性を保つシステム構成を採用しています。
障害に備えて、システムを冗長化し、データは複数台のストレージ(RAID)に保存しています。また、24時間体制のシステム監視や、メインセンターの機器を2重にすることで、障害時のサービス回復時間を短縮します。
加えて、自然災害によるデータセンターの被災も想定しておく必要があります。メインセンターが被災した際には、遠隔地のバックアップセンターでディザスタリカバリ(DR)を実施します。
このようにさまざまな方向性のリスクを考えた対策することで、安全性と安定性を高めているのです。
大容量のデータを安全に送受信するために生まれたオンラインストレージサービスですが、近年はセキュリティリスクへの備えが一層求められていることがわかります。サイバー攻撃や従業員による不正、また災害などさまざまなリスクが存在するため、多方面の対策が必要です。
「Bizストレージファイルシェア」は、使いやすいオンラインストレージサービスはもちろんのこと、安全なデータセンターで、数々のセキュリティ対策機能を提供します。資料請求または無料トライアルをぜひご利用ください。
・Bizストレージファイルシェアについての資料ダウンロードはこちら「資料ダウンロード」にアクセスください。
・無料トライアルをご希望の方はこちら「無料トライアル申し込みページ」からお申し込みください。