約10万件の個人情報が設定ミスで流出?!クラウドサービスに起因するレポートを公開
更新日:2023/11/08 12:23
株式会社Cloudbaseは、2023年7月1日〜9月30日までに公表された、被害規模1,000件以上の主な個人情報漏洩事件に基づき、「クラウドサービスに起因するセキュリティインシデントレポート」を公開しました。
国内で急速に高まっているクラウドサービスの利用率
日本国内の大企業によるクラウドサービス利用率は、DX推進やコスト削減の観点で急速に高まっているとのこと。
特に資本金が50億円以上の大企業においては、半数以上がクラウドサービスを導入しているのだとか。(※1)
普及した大きな要因としては、クラウドサービスが自社内にシステムを所有し運用するオンプレミス型のサービスと比較して、初期コストが低く容易に運用を行えることが挙げられます。
一方、2012年以降の11年間の累計で、日本の人口に匹敵する1億2,500万人分の個人情報が漏洩したとされており、個人情報の流出を伴うセキュリティインシデントは後を絶ちません。(※2)
2023年7月1日から2023年9月30日における事故件数は27件、漏洩した個人情報は合計で917万人にのぼったとの結果に。(※3)
特に資本金が50億円以上の大企業においては、半数以上がクラウドサービスを導入しているのだとか。(※1)
普及した大きな要因としては、クラウドサービスが自社内にシステムを所有し運用するオンプレミス型のサービスと比較して、初期コストが低く容易に運用を行えることが挙げられます。
一方、2012年以降の11年間の累計で、日本の人口に匹敵する1億2,500万人分の個人情報が漏洩したとされており、個人情報の流出を伴うセキュリティインシデントは後を絶ちません。(※2)
2023年7月1日から2023年9月30日における事故件数は27件、漏洩した個人情報は合計で917万人にのぼったとの結果に。(※3)
103,438件もの情報漏洩事案はクラウドサービスの正しい設定で防げた可能性も
今回調査対象とした27件の個人情報漏洩事案のうち、2件はクラウドサービスに起因する事案である可能性が高いのだそう。
2つの事案で合計103,438件もの個人情報が流出していたものの、クラウドサービスにおける正しい設定によって防御できた可能性が高いと考えられるとのこと。
2つの事案で合計103,438件もの個人情報が流出していたものの、クラウドサービスにおける正しい設定によって防御できた可能性が高いと考えられるとのこと。
設定ミスによるインシデントを防ぐための対応策
クラウド上に構築したシステムのセキュリティを確認し、常に安全な状態に保ち続けることが、クラウドサービスに起因するインシデントを防ぐために重要なのだとか。
総務省による「クラウドサービス利用・提供における適切な設定のためのガイドライン」の基本方針「クラウドサービス利用におけるガバナンスの確保」(※4)では、企業や組織におけるクラウド利用方針やガバナンスを集中的に行う役割として「CCoE(Cloud Center of Excellence)」を設置し、組織横断的にクラウドの管理をすべきと提言されています。
さらに、クラウド上の各種システムの「今」の状態を確認し、設定ミスや脆弱性などを検証してセキュリティを担保する「CSPM(Cloud Security Posture Management)」を用い、継続的なセキュリティチェックや、クラウドサービスの運用の実態を把握することが重要であると考えられているとのこと。
総務省による「クラウドサービス利用・提供における適切な設定のためのガイドライン」の基本方針「クラウドサービス利用におけるガバナンスの確保」(※4)では、企業や組織におけるクラウド利用方針やガバナンスを集中的に行う役割として「CCoE(Cloud Center of Excellence)」を設置し、組織横断的にクラウドの管理をすべきと提言されています。
さらに、クラウド上の各種システムの「今」の状態を確認し、設定ミスや脆弱性などを検証してセキュリティを担保する「CSPM(Cloud Security Posture Management)」を用い、継続的なセキュリティチェックや、クラウドサービスの運用の実態を把握することが重要であると考えられているとのこと。
<出典元>
※1 キヤノンエスキーシステム株式会社 「統計から見る!企業のクラウドサービス利用状況」
https://www.canon-esys.co.jp/dayone/resource/900/
※2 警察庁 「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf
※3 株式会社セキュアオンライン 「個人情報漏洩事件・被害事例一覧」
https://cybersecurity-jp.com/leakage-of-personal-information
※4 総務省 「クラウドサービス利用・提供における適切な設定のためのガイドライン」
https://www.soumu.go.jp/main_content/000843318.pdf
https://www.canon-esys.co.jp/dayone/resource/900/
※2 警察庁 「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf
※3 株式会社セキュアオンライン 「個人情報漏洩事件・被害事例一覧」
https://cybersecurity-jp.com/leakage-of-personal-information
※4 総務省 「クラウドサービス利用・提供における適切な設定のためのガイドライン」
https://www.soumu.go.jp/main_content/000843318.pdf