1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第2回 「公開するつもりがないのに漏れていた!?」を防ぐ、クラウドサービスの安全な利用方法を聞いてみた
このエントリーをはてなブックマークに追加

辻 伸弘のセキュリティ防衛隊

第2回 「公開するつもりがないのに漏れていた!?」を防ぐ、クラウドサービスの安全な利用方法を聞いてみた(2/3)

クラウドサービスの安全な利用法、意図しない情報漏えいを防止する対策とは?

★ なるほど。意図しない情報漏えいの問題については理解できました。では、順番にお聞きしたいのですが、まず、外部に出してよい情報かどうかの判断はどうしたらよいのですか?
辻 伸弘隊長

そうですね。外部に公開してよい情報の判断については、会社等が定めるセキュリティポリシーなどに従うことが大事です。会社によっては、文書の公開レベルを細かく定めているところがあります。個人の場合は、自分が漏洩して困るものについては共有しないというルールを設けるようにしましょう。誰かに知られて困ることは決して口外しないというのと似ているかも知れませんね。「誰にも言わないでね」といって告げられたことは、たいてい多くの人に知れ渡りますから(笑)。

そして、利用するサービスについても確認しましょう。会社によっては、誰でも利用できるパブリックな(フリーの)クラウドサービスの利用を禁じているところがあるので、その場合は、会社が許可しているファイル共有サービスなどを確認し、利用するようにします。

★ 会社のポリシーや、会社が推奨するサービスを確認、利用することが大事なのですね。
辻 伸弘隊長

これは、仮に漏えいなどの事案が発生してしまった場合にユーザーが自身を守ることにも繋がります。仮に、会社が許可していないサービスを利用していた場合、万一の際に情状酌量の余地がなくなります。また、組織側も、あらゆるクラウドサービスを禁止するというのではなく、これは使っても良いというサービスを用意することが大事です。こうすることで、ユーザーが各々抜け道を探すという違反が発生することを抑止でき、ユーザーが利用するクラウドサービスを管理できなくなるということを避けることが可能になります。

★ では、共有の「手段」を考える際に、自分が利用するサービスの「公開」や「共有」の状態を確認するということについてはいかがですか?
辻 伸弘隊長

これは、サービスの利用方法のマニュアル等を参照することはもちろん、必ず、自分が意図した機能(共有状態)が反映されているかどうか確認するクセをつけることが大事です。例えば、ファイルに閲覧制限をかけて、閲覧できるユーザーを制限しているのであれば、テスト用アカウントなどを予め用意しておくなどして、許可されていないアカウントからファイルにアクセスして、閲覧できないかを確認することです。

★ ファイルの共有期間についてはどうしたらよいでしょう。
辻 伸弘隊長

公開、共有するファイルは、予め、いつ公開、共有をやめるのかを決めておき、期限を過ぎたら公開状態を解除する(共有の必要のないファイルはクラウド上から削除する)ようにしましょう。

★ その他、サービス利用に際して注意することを教えてください。例えば、サービス終了時や、サービスを退会するときに注意することはどんなことですか?
辻 伸弘隊長

サービス終了時は、登録したファイルを消去し、あとは、規約をよく読み、自分が登録したデータがどうなるのかを確認します。わからないときはサービス側に質問するとよいでしょう。

退会の際のポイントは、逆説的ですが、あえてアカウントを残すという考え方もあります。

★ 具体的にはどういうことでしょう?
辻 伸弘隊長

これは、「自分が過去に使っていたメールアカウントがスパムメールの送信元に使われているらしい」という事例を聞いたことがあります。おそらく、フリーメールなどで、ユーザーがクラウドサービスを退会してしばらくすると、同じメールアドレスが別のユーザーによって取得できてしまうことが理由ではないかと思われます。

ですから、サービスを利用しないときは、データはすべて消しておき、誰もログインできないようログイン情報をしっかり管理した上で、あえて退会せずに放置しておくという方法もあると思います。

★ なるほど。でも、人によっては数多くのサービスに登録していると思いますが......。
辻 伸弘隊長

これは、第1回のテーマに繋がってくる話ですが、自分が登録したサービスを失念しないためにも、ID、パスワードをきちんと管理することが大事になってきます。パスワードの管理をきちんとしておけば、自分がどのサービスに登録しているか把握できるからです。のちのち何かあってもあわてずに済むように、日頃からログイン情報をしっかり管理し、継続的にアップデートしておくとよいでしょう。

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji