厚生労働省委託先の大原学園で仕様書に反するクラウドでの不適切な名簿管理、誤送信で発覚
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月3日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・委託先企業のセキュリティ違反を未然に防ぐには
・クラウド利用の便利さをより活かす為の対策
今回の解説ニュース
メールの誤送信とクラウドの設定ミスが同時に発生したことで、個人情報が漏洩してしまったということです。クラウドの設定ミスが発生する原因と対策について説明します。
今回のインシデントは、セキュリティが確保されていないクラウドサービスにアクセス可能なURLが記載されたメールを1名に対して送ってしまったことで発生しています。クラウドサービスには1106名分の個人情報が保存されていたということです。
また、委託事業の仕様書では、クラウドサービスで個人情報を管理することを禁止していたようで、厚生労働省は、当該受託者に対して個人情報の適切な取り扱いと再発防止の徹底を図るよう注意指導するとともに、情報セキュリティに関する監査を実施するということです。
委託先企業のセキュリティ違反を未然に防ぐには
委託先の企業がセキュリティ上の違反をしていないかどうかについて、国際規格のISO27001では、情報にアクセスする委託先の管理を徹底するよう定められています。その内容について説明します。
ISO27001とは、情報セキュリティマネジメントシステムであるISMSに関する国際規格です。組織が保護すべき情報資産を洗い出し、セキュリティの3要素である機密性・完全性・可用性の3つをバランスよく管理することが求められています。
ISO27001の管理策に「供給者管理」が定められています。今回の場合、供給者は厚生労働省が事業を委託した企業と、結果的には、その委託先が個人情報を保存していたクラウド事業者も含まれます。
また、ISO27001では、供給者と情報へのアクセスや守秘義務に関して合意した内容を文書化しているかであったり、供給者のサービスが変更された時など、必要に応じて監査を行い、その結果をセキュリティ担当組織へ報告しているかであったり、総じて委託先のセキュリティ管理を徹底するように定められています。
今回の場合ですと、委託先に対して情報へのアクセスに関して仕様書では合意していたものの、実態としては異なる運用がなされていたということなり、厚生労働省の確認方法に不備があったことが考えられます。このように、委託先で発生するセキュリティリスクは「サプライチェーンリスク」と呼ばれており、対策が困難な問題の一つと言われています。
その他のトピックはこちら
クラウド利用の便利さをより活かす為の対策
クラウドの設定不備を確認する方法として、クラウド事業者などが提供するセキュリティガイドを活用する方法があります。また、AWSやAzureなどの設定不備を監視する仕組みとして「CSPM」があります。(全文はこちら)