■今日の事例　：クラウドシステムからの情報漏えい

Ｃ社は営業の交渉記録をデータベースに登録して、営業社員間で共有できるようにしている

（過去から1,000件以上の記録を保管している）。

 

当該データベースは外部企業の安価なクラウドシステムサービスを利用しており、Ｃ社として特にクラウドのセキュリティ面のチェックなどはしていない。

ある日、当クラウドシステムがサイバー攻撃を受け、Webツールの脆弱性からデータベース上の交渉記録が持ち出されてしまった。

 

交渉記録の中には、上場企業の新商品の企画内容も含まれていたが、データベースにはアクセスログ等のログを記録する仕組みも無かった為、どこまでの情報が流出したか分からなかった。

 

 

■考察　：何がいけなかったのか考えてみましょう！

「今日の事例」はクラウドシステムがテーマです。

最近のクラウドシステムは様々な機能を有しており、自社でデータベースを構築するのに比べて安価であり、直ぐに利用できるなどのメリットがありとても魅力的です。

 

一方セキュリティ面はどうでしょうか？

大手のクラウド会社はセキュリティも万全な所が多いのですが、クラウドシステムを提供している企業は大手ばかりではありません。セキュリティについては万全とは言えないようなケースもあるようなので要注意です。

 

まず、問題となるポイントについて見てみます。

 

　①クラウドシステムの管理不十分

・クラウドシステムの責任範囲や契約内容のチェック

・機密情報を取扱う場合は、システムのセキュリティ面のチェックが必要

 

　②クラウドシステムのサイバー対策不足

・Webツールの脆弱性への対応

・攻撃検知システムの導入

 

　③ログの取得～検証なし

・不正アクセスの検証の為にも、最低限ログ取得は必要

 

 

■対処　：クラウドシステムからの情報漏えいに関する対応

今回の事例のように、クラウドシステムだから大丈夫と考えずに利用を開始する前にセキュリティ面はできるだけするようにしましょう。上記のリスクポイントを踏まえて、このような事象が発生する可能性を少しでも少なくする方法を考えてみて下さい。

 

 

■結果　：今回の情報漏えいによって発生すること

今回の事例で、情報が漏えいした結果はどうなるしょうか？

 

・交渉先との機密情報保護違反（契約違反）

　　→　上場企業の株価下落など損害が発生した場合は損害賠償責任

　　→　企業信用の失墜～ビジネス減

 

今回の事例は、クラウドシステムを利用する際に注意する事柄がテーマです。特に機密性の高い情報を預ける場合は、事前に契約内容やセキュリティ対策に関して十分なチェックが必要です。