https://president.jp/articles/-/27344?page=1
ビジネスでも日常生活でもクラウドサービスは身近になった。だが、メールアドレスとパスワードの紛失でデータにアクセスできなくなったり、クラウドサービスの終了でデータが消えたりする危険性がある。さらに怖いのは、不正アクセスによる情報流出だ。どうすれば防げるのか――。
クラウドサービスなら本当に安心か
写真や書類などの大切なデータやファイルを、皆さんはどのように保管しているだろうか。スマホは落としたりなくしたりすることがあるし、パソコンなどもクラッシュすることがあり、安心できない。そのように考えて、クラウドサービスに預けている人も多いだろう。
クラウドとは「クラウドコンピューティング」の略であり、ネットワーク経由で利用できるサービス全般をクラウドサービスという。クラウドサービスには、Webメールなどのソフトウェア機能を提供するもの、データベースなどのアプリケーション実行用のプラットフォーム機能を提供するもの、ハードウェアやインフラ機能を提供するものなどがある。クラウドサービスは端末や場所に縛られないため、どのような環境でも利用できるのがメリットだ。
では、クラウドサービスなら本当に安心なのだろうか。個人・企業の実例から、主にソフトウェアやストレージ系のサービスに注目して、安全性を見ていきたい。
セルフヌード写真の大量流出事件
実はクラウドサービスに預けたデータが流出した事件は少なくない。2014年8月、AppleのクラウドサービスiCloudからハリウッドセレブのセルフヌード写真を含むプライベート写真が500枚以上と大量に流出した。被害者には、ジェニファー・ローレンスやケイト・アプトンなど、著名女優が多数含まれていた。
この事件では、iCloudの脆弱性が狙われたわけではなく、ユーザー名、パスワード、セキュリティのための質問に的を絞った攻撃により、不正アクセスをされたことがわかっている。著名人は誕生日やペットの名前、趣味などのさまざまな個人情報が公開されているため、類推しやすかったと考えられるのだ。容疑者は100人以上の著名人のプライベート写真を入手し、インターネット上で共有していた。
日本でも似た事件が起きている。2016年11月、日本経済新聞社の社員だった男が、モデルの押切もえさんや元NMB48の渡辺美優紀さんら女性4人の利用するクラウドサービスへ不正にアクセスした疑いで逮捕された。ハリウッドセレブの事件と同じく、名前や誕生日、ニックネームを組み合わせて、パスワードを類推していたという。
SNSの“遊び”からパスワードがバレることも
この前年には、長崎県の男が長澤まさみさんや武井咲さんのiCloudやFacebookに不正ログインし、プライベート写真などをのぞき見て逮捕される事件が起きている。このケースでもパスワードを誕生日などから類推していたという。IDやパスワード、秘密の質問などが単純なわかりやすいものの場合、このように容易に突破されてしまうことがあるのだ。
若者たちの間では、「バトン」や「Peing(質問箱)」など、相手から出されたさまざまな質問に答える遊びやサービスがはやっているが、そうしたサービスを利用していると、パスワードを類推するヒントを与えることになる。利用には注意が必要だ。
そして、パスワードをオリジナルで複雑なものにし、セキュリティのための質問を類推しづらいものにしておく。そのうえで、「2段階認証」を活用するといい。
2段階認証とは、認証を二重にすることでセキュリティを強化し、万が一、パスワードが漏れたとしても、本人以外はアクセスできないようにする認証方法だ。
メールアドレス変更でデータにアクセスできず
クラウドサービスでデータにアクセスできなくなる理由で多いのは、パスワード失念だ。パスワードを忘れただけなら問い合わせればわかるので問題ないのだが、ある知人は「メールアドレスを変更した状態でIDとパスワードを忘れてしまった」という。機種変更を機にメールアドレスを変更しており、以前のものは使えなくなっていたのだ。その結果、データに完全にアクセスできなくなり、運営会社に問い合わせてもどうにもできなかったそうだ。
またある人は、もう使わないと思いGoogleアカウントを削除してしまった。ところが削除してしばらく経って、Googleドライブに写真を残していたことに気づき、青くなったという。
Googleアカウントの救済策
実は、Googleアカウントには救済策が用意されている。削除してから一定期間内であれば、アカウントが本人のものであると確認するためのさまざまな質問に答えられれば復元できることがあるのだ。
このときは幸い、削除してからまだそれほど時間が経っていなかったので、復元して写真データも取り戻すことができた。しかし「回答を間違えた質問もあり、復元できないのではないかと焦った」という。Googleアカウントはさまざまなデータと紐付いているので、容易に消さない方がよさそうだ。
また、使っているクラウドサービスが終了することもある。実はクラウドサービスは次々と出ては消えている。これまでに、LINEの「Nドライブ」、キングソフトの「KDrive」、リコーの「Keenai」など、多くのサービスが終了している。クラウドサービスに大切なデータを多数預けている場合、データをほかのサービスに移す際に苦労する。移行の作業をさぼれば、すべてのデータは消えてしまう。
終了が怖い人は、Googleドライブ、Microsoft OneDriveなどの、簡単には終了しそうにない大手クラウドサービスを利用しておく方が無難かもしれない。
企業のセキュリティは弱体化している
https://www.web-luck.jp/blog/cloud-storage/347/
働き方改革や新型コロナウイルスの影響により、テレワークを導入する企業が増えました。オフィスなどの同じ空間で仕事をしていた環境から、個々の環境とへ移ったことで、多くの企業ではセキュリティ対策が必要となっています。
その最もな理由としては、外部からの不正アクセスや内部からの情報漏洩が増えているからです。情報漏洩の原因のひとつである不正アクセスは年々、巧妙化しています。
約10年前、パスワードは8文字以上が推奨されていました。しかし現在、内閣サイバーセキュリティセンターは「完全にランダムで英大文字小文字+数字+記号混じりで15桁以上のもの」を推奨しています。
パスワードを破る手口は、すべての文字の組み合わせを試す「総当たり攻撃」のほかに、パスワードでよく使用される言葉を集めた辞書を利用する「辞書攻撃」、流出した ID ・パスワードのリストを利用した「リスト型攻撃」などがあります。
パソコンの性能の向上とともに、パスワードを破る方法も進化しているのです。
ウイルス感染などによって生じたセキュリティホールから侵入し、いつでも容易に侵入できるように仕掛けられるバックドア。ハッキングに気づいて対策を講じたのに、またハッキングされてしまうときには、このバックドアが隠されていることがあります。
情報が盗まれたり、改ざんされたりするだけでなく、乗っ取られてサイバー攻撃の加害者とされてしまうリスクもあるので、あらゆる角度からのセキュリティ対策をする必要性が高くなっているのです。
悪意のある第三者による不正アクセスによる情報漏洩の被害を受けないために、企業にはさらなるセキュリティ対策の強化が必要なのです。
無料版のクラウドサービスはセキュリティが甘い
企業が重要な情報を保管するために、個人利用者の多い無料のクラウドサービスを利用するのはやめましょう。個人向けと法人向けでは求められるものが異なるので、セキュリティ対策も異なっています。企業には、より強固なセキュリティ対策が必要です。
無料の個人向けを利用した場合、従業員個人個人がアカウントを持つことになり、企業が一括管理することができません。パスワードの変更やセキュリティ設定も個人任せとなってしまいます。
また、従業員が悪意を持ってファイルのコピーや転送を行ったり、改ざんしたりした場合、気づくのに時間がかかってしまいます。
法人向けの有料サービスでは、ログインやファイルの転送・ダウンロードの履歴が保存されます。アカウントやIPアドレスによる制限も可能です。また、データの消失に備え、自動でバックアップをとる機能もあります。
企業が責任をもって情報を管理するためには、コストや利便性だけでなく、強固なセキュリティ対策が必要なのです。
自社に適切なクラウドストレージ探しを
個人で利用することの多い、無料のクラウドサービス。セキュリティ対策が法人向けのほど強固ではないので、企業は有料版利用しましょう。
不正アクセスの手口は、年々巧妙化しています。社内の重要な情報や個人情報を漏洩させないために、企業のセキュリティ対策は必須です。しかし、いくらセキュリティ対策が万全でも、操作性が悪く、ツールの扱いが難しいようだと生産性が低下してしまいます。
クラウドサービスを導入するときには、企業の規模や目的に合ったものを選びましょう。