こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」7月2日の放送内容を一部抜粋しご紹介します

今回のトピック！
・ニュース解説
・SaaSにおけるクラウド事業者と利用者の責任共有モデル
・暗号化すべき情報について

今回の解説ニュース

地方銀行が利用するクラウドサービスへ不正アクセスがあり、顧客情報が漏洩した可能性があるということです。クラウドサービスの設定不備が原因で多発しているインシデントを未然に防ぐ方法について説明します。

不正アクセスが確認された経緯として、社外のシステム保守会社がクラウドサービスのログを調査したところ、第三者からの不正アクセスが判明し、クラウドサービスのセキュリティ設定に不備が確認されたということです。

被害を受けたWebサイトの構築にSalesforceが採用された背景について「短期間と低コスト」が挙げられています。Salesforceのクラウドサービスを活用することで、インフラやアプリケーションの構築が不要になり、短期間で構築が可能であったとされています。その一方で、細かいセキュリティ設定が見逃されてしまったようで、今回のインシデントにつながってしまったことが考えられます。

SaaSにおけるクラウド事業者と利用者の責任共有モデル

今回のインシデントはクラウドサービスの中でもSaaSで発生していますので、SaaSにおけるクラウド事業者と利用者の責任共有モデルについて説明します。

クラウドサービスの責任共有モデルとは、クラウド事業者と利用者がクラウドサービスで責任を負うべき範囲を可視化したものです。誤解が生じやすいクラウドサービスの責任分界点において、すべての利害関係者が共通の認識を持つことを目的として作成されています。

例えば、AWSの責任共有モデルの説明として、AWSの責任はクラウド「の」セキュリティとしている一方で、利用者の責任はクラウド「における」セキュリティとしています。もう少しわかりやすく具体的にSaaSの例で説明すると、物理、インフラ、ネットワーク、アプリケーションの責任はクラウド事業者が責任を負う一方で、データの保護や設定回りは利用者の責任であるとされています。

今回のインシデントの場合「セキュリティ設定の不備が原因」とされていますので、利用者が責任を負う必要があります。対策としては、クラウド事業者が提供しているセキュリティガイドなどを参考に、クラウドサービスの設定回りに問題がないかWebサイトのリリース前に、自社か社外のシステム保守会社が確認する必要があります。

ちなみに、我々もセキュリティで困っているすべての組織を救いたい思いで、数か月前からSalesforce向けのセキュリティ診断を無償で提供しています。今回のインシデントも我々のメッセージが届いてさえいれば未然に防ぐことができた事例であるが故に、救えなかった現実に対して力不足を感じざるを得ません。

その他のトピックはこちら

暗号化すべき情報について
セキュリティの3要素のうち、機密性の高い情報については暗号化すべきです。その理由について説明します。

放送を聴かれるかたはこちら

記 にしもと