1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第2回 「公開するつもりがないのに漏れていた!?」を防ぐ、クラウドサービスの安全な利用方法を聞いてみた
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

辻 伸弘のセキュリティ防衛隊

第2回 「公開するつもりがないのに漏れていた!?」を防ぐ、クラウドサービスの安全な利用方法を聞いてみた(1/3)

Webメールやスケジュール管理、グループウェアやオンラインストレージなど、インターネットを利用した「クラウドサービス」には様々なものがあり、多くのユーザーに利用されています。クラウドサービスは様々な端末から、インターネットを経由して「いつでも」「どこでも」利用できるという利便性がある反面、ユーザーがクラウド上に保存した機密情報が意図せず外部から閲覧可能になるといった情報漏えいの問題も多発しています。特に、グループウェアやオンラインストレージ上に保存された、組織などの機密情報にあたる文書ファイルが、意図せず第三者に閲覧可能な状態になっていたという事例が数多く報じられています。

今回は、意図しない情報漏えいはなぜ起きるのか、漏えいを予防する対策はどうしたらよいかなど、クラウドサービスを安全に利用するためのポイントについて、「セキュリティ防衛隊」の辻さんに解説していただきます。

意図しない情報漏えいはなぜ起こる?

★ 辻さんこんにちは。今日はクラウドサービスの利用時における情報漏えいがテーマです。クラウドサービスを利用して文書ファイルを保存した結果、意図せず外部から閲覧可能な状態になるという情報漏えいのリスクが指摘されています。
辻 伸弘隊長

こんにちは。情報漏えいのリスクについてお話しする前に、まずはクラウドサービスの特徴について整理しましょう。

クラウドサービスでは、データがインターネット上のサーバーに存在します。これにより、インターネットが利用可能な環境であれば、いつでも、どこでもデータを閲覧、参照することが可能という特徴があります。

★ そうですね。
辻 伸弘隊長

一方で、ユーザーはデータを事業者のサーバー上に預けるため、データの共有範囲の設定を誤ったり、共有する際に、閲覧するユーザーを制限できないといったサービス側の仕様(またはセキュリティホール)の問題があったりすると、預けていた情報が外部に漏えいする可能性があります。

★ こわいですね。では、上記のリスクについて改めて整理して解説してください。
辻 伸弘隊長

そうですね。まず、一つ目のリスクは、サービスを利用するユーザー側の「設定」の問題です。これは、「Googleグループ」を通じた情報漏えいの事例が記憶に新しいところです。無償でも利用できるグループウェアのクラウドサービス「Googleグループ」において、ユーザーが情報の共有範囲を正しく設定していなかったため、文書ファイルなどの機密情報が意図せず公開状態になっていたというものです。

【参考事例】
2014年2月の呼びかけ(IPA)
「Googleグループ」 における意図しない情報公開に関しての注意喚起(株式会社ラック)

★ では、サービス側の仕様の問題についてはどうですか?
辻 伸弘隊長

はい。クラウドサービスの中には、データを共有する際に、データのアップロード先のURLを付与して、そのURLを共有したいユーザーに通知するというやり方をするものがあります。しかし、これは、言い換えるとURLさえ分かってしまえば誰でもデータにアクセスが可能ということを意味します。もちろん、URLは第三者が簡単にアクセスできないように長く複雑なものに工夫はされてはいますが。

★ もう少し、詳しく教えてください。
辻 伸弘隊長

そうですね。これは、「Dropbox」や「Googleドライブ」などのオンラインストレージで指摘されたことのある問題です。クラウド上に預けた文書ファイルなどの中に、外部サイトへリンクするURLが含まれている場合、当該外部サイト(リンク先)のWebサーバーに、どのページからリンクしてきたかという情報を示す「リファラ」と呼ばれるものが通知されてしまい、その結果、リンク元、つまりユーザーがアップロードしたデータのURLが外部に漏えいしてしまうという問題です。

【参考事例】
Googleドライブで第三者にデータ流出のセキュリティホールが発覚、対処法も(GIGAZINE)
Dropboxの共有リンク、外部のWebサイトへ筒抜け(ITmedia)

★ こうした意図しない情報漏えいはなぜ起きるのでしょう。
辻 伸弘隊長

大きく二つの問題があると思います。まず、外部に公開、共有してよい情報かどうかの線引きがユーザー側できちんとされていなかったという問題です。クラウド上であるかどうかにかかわらず、外部に公開して問題のある情報は、原則、外に出さないことです。万一、業務の都合などで外部に出す必要があるときは、クラウドサービスではなく、別の方法で情報の受け渡しを行うという選択肢を用意しておくことが大事です。

★ もう一つの問題はどういうことでしょう。
辻 伸弘隊長

はい。情報を公開、共有する際には、ファイルを暗号化してメールに添付する方法もありますし、クラウドサービス上にデータを預けて、関係者で一斉に情報を閲覧、編集する方法もあります。このように、ユーザー側で、どのように情報を公開、共有するのが適切かを考える必要があるというという問題です。

たとえば、クラウドサービスを通じた「共有」と一口に言っても、サービスによって色々な形態があります。上記で示したように、データを共有する際に、データのアップロード先のURLを付与する方法では、実際には誰でもデータを閲覧可能であるにもかかわらず、ユーザー側がそのことを理解していない場合があるのですね。

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji