覚えておきたいクラウド&データのキホン（第29回） クラウドストレージの情報漏えい事例から、情報セキュリティの課題を学ぶ

　社内データの保存場所を、オンプレミス環境からクラウドストレージに置き換えた、もしくは置き換えを検討している企業は多いかもしれません。しかし、クラウドストレージはパブリック環境でリソースを共有する性質上、情報漏えいなどのインシデントが発生するおそれがあります。本記事では、クラウドストレージの情報漏えい事例から見る情報セキュリティ対策の課題について解説します。

目次
・クラウドストレージが抱える情報セキュリティ上の課題
・米国で起きたクラウドストレージの情報漏えい事例
・日本国内で起きたクラウドストレージの情報漏えい事例
・情報漏えいによって企業がかぶる被害
・安心して利用できるクラウドストレージ選びに迷ったら
・まとめ

クラウドストレージが抱える情報セキュリティ上の課題

　総務省が2022年5月に公表した調査結果によると、国内企業の70.4%がクラウドコンピューティングを活用しており、「ファイル保管・データ共有」の分野で最も多く利用されているという結果になりました。クラウドストレージを使用することで、オンプレミス環境のように物理的なサーバーやネットワーク機器などを導入することがなくなるため、ハードウエアの導入費用が削減できます。

　しかし、クラウドストレージのようなSaaS型のサービスは、基本的にオンプレミス環境のようなアドオン開発（個別に開発して機能を追加すること）ができません。そのため、自社独自の情報セキュリティ要件をクリアできないまま、クラウドストレージを使っているケースもあるかもしれません。

　クラウドストレージは常時インターネット環境に接続される性質から、常に不正アクセスやマルウエアといったサイバー攻撃の脅威にさらされています。また、時間や場所に縛られることなくクラウド環境にアクセスできるメリットの裏で、内部の人間による意図的な情報の流出や、誤操作によるデータ消失などが生ずるおそれがあるというデメリットも存在します。

米国で起きたクラウドストレージの情報漏えい事例

　クラウドストレージの情報セキュリティリスクは、実際に発生した情報漏えいインシデントの事例から学べます。ここでは、米国で起きたクラウドストレージの情報漏えい事例について解説します。

米国大手クラウドストレージへの不正アクセス事件（2012年）
　2012年、クラウドストレージサービスを提供する大手企業のユーザーアカウント情報の流出事件が発生しました。当該企業は2016年8月に、公式ブログにてこの事実を正式に認め、約6800万人のアカウント情報が流出したと公表しました。流出したアカウント情報はユーザーのメールアドレスと暗号化されたパスワードで、他のWebサイトから窃取されたデータが一部アカウントへのログインに使用されたと説明しています。

米金融大手で1億人超の情報漏えい（2019年）
　2019年、米国の大手金融機関で氏名や住所、電話番号、電子メールアドレス、銀行口座番号など1億人以上の個人データがハッカーに盗まれる事案が発生しました。ハッカーは当該金融機関が利用していたクラウドサーバーの設定ミスを突きシステムに侵入したと発表されています。

日本国内で起きたクラウドストレージの情報漏えい事例

　クラウドストレージの情報漏えいインシデントは、国外企業のみならず国内の大手企業や政府機関での発生事例も少なくありません。ここでは、国内で発生したクラウドストレージの情報漏えい事例を紹介します。

国内大手企業の個人情報が漏えいした可能性（2011年）
　2011年、世界的な日本のエンターテインメント企業が提供するクラウド型コンテンツサービスのサーバーに存在した脆弱性を突かれ、ユーザーの名前や住所、電子メールアドレスなどの個人情報が漏えいした可能性があると発表されました。その後、企業は不正アクセスへの対応としてシステムの見直しやユーザーへのパスワードの再設定などを行いました。

無料ファイル転送サービスの個人情報が漏えい（2019年）
　国内のシステムインテグレーターが運営するファイル転送サービスのサーバーが、ハッカーに脆弱性を突かれ、不正アクセスによって約480万件のユーザー情報が流出しました。サービス事業者がサーバーに不審なファイルを見つけ、第三者機関とともに詳細な調査を開始したことで、情報漏えいインシデントの発覚に至りました。同社は原因調査のため、サービスの一時停止を余儀なくされました。

内閣府職員が利用するファイル共有ストレージに不正アクセス（2021年）
　2021年、内閣府および内閣官房の職員らが使用するファイル共有ストレージに不正なアクセスがあり、231人の個人情報が流出した可能性があると発表されました。たとえ社内ネットワークに強固な情報セキュリティ対策を講じても、利用するクラウドサービスに脆弱性がある場合は、情報漏えいの引き金になり得ます。

情報漏えいによって企業がかぶる被害

　万が一、情報漏えいのインシデントが発生した場合には、どのような被害が生まれるのでしょうか。以下の3つが考えられます。

信用が失墜する
　情報漏えいインシデントの発生によって想定される被害の1つは、「社会的信用の失墜」です。企業のストレージやファイルサーバーには、顧客情報や従業員の個人情報、製品開発情報、経理文書、人事考課情報など、さまざまな機密データが管理されています。こうした機密度の高いデータが漏えいすることは、企業の社会的信用やブランドイメージを失墜させ、優良顧客の喪失や売上機会の損失、株価の下落などを招く要因となるでしょう。仮に、情報漏えいインシデントの発生からある程度の時間が経過しても、顧客や消費者が抱くマイナスイメージを払拭（ふっしょく）できなければ、新規顧客の獲得が困難となるおそれがあります。

損害賠償費用が発生するおそれ
　情報漏えいインシデントが発生した場合、民事上の損害賠償責任を負う可能性があります。賠償金額はケースによって大きく異なりますが、豊富な資金調達手段を有していない企業にとって、損害賠償費用によって事業の継続そのものが困難になる可能性も考えられるでしょう。たとえ訴訟問題にまで発展せずとも、各被害者に対するおわびや見舞金といった事後対応費用が必要となるおそれがあります。

業務停止につながるおそれ
　情報漏えいが発生し、その原因が自社のずさんな情報セキュリティ体制にあった場合（例えば、既存の業務システムに重大な脆弱性が発見され、セキュリティパッチが配布されているにもかかわらず適用していなかった場合など）、その責任が企業側に問われる場合があります。このような事前に行うべき情報セキュリティ対策を怠っていた場合、民事上の責任を問われるのはもちろん、個人情報保護法上の安全管理措置義務に違反したとして、行政処分を受ける可能性もあります。さらに、安全管理措置義務違反を理由に個人情報保護委員会から命令を受け、当該命令に従わなかった場合等については、違反した個人（通常は代表者、担当役員）及び違反した企業がそれぞれ刑事罰を受ける可能性があります。

安心して利用できるクラウドストレージ選びに迷ったら

　情報セキュリティ面で安心してクラウドストレージを利用したい場合は、NTT西日本の「おまかせクラウドストレージ」を選択肢とする手があります。同サービスは、すべてのフォルダに利用できるユーザー/グループを設定できるほか、社外の人と手軽かつセキュアにファイル共有できる機能を備えています。また、多要素認証にも対応しているなど高い情報セキュリティ環境を保ちつつクラウドストレージを利用できる点が特長です。

※おまかせクラウドストレージのご契約には、NTT西日本が提供する「フレッツ光」等の契約が、最低1契約必要です

まとめ

　クラウドストレージは、オンプレミス型のファイルサーバーと比較して、導入費用や管理コストの削減に寄与する点が大きなメリットです。しかし、オンライン上のパブリック環境でリソースを共有するため、常に不正アクセスやマルウエアといった脅威にさらされるというデメリットがあります。

　情報漏えいのようなインシデントが発生した場合、企業の信用は失墜し、損害賠償請求の発生や業務の停止といった事態を招きかねません。情報漏えいインシデントのリスクを最小化するためには、情報セキュリティ対策に関して信頼のおけるクラウドサービスを選定すべきでしょう。

※掲載している情報は、記事執筆時点のものです