岡山大学病院の医師にフィッシング攻撃、クラウドサービスのデータにアクセスできず
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」8月13日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・ニュースから読み取れる3つの課題と対策
・シャドーⅠTについて
今回の解説ニュース
個人情報を保存していたクラウドサービスのアカウントが乗っ取られてしまい、アクセスできなくなってしまったということです。個人端末やクラウドサービスが業務利用される場合に、組織が気を付けるべきポイントについて説明します。
今回のインシデントは、病院の医師が患者情報を個人が契約するクラウドサービスへ保存していたところ、そのアカウントがフィッシング詐欺の被害にあってしまい、攻撃者が保存されたデータを閲覧可能な状態になってしまったということです。医療システムへの不正アクセスは確認されていないものの、警察や関係各所に協力を仰ぎながら、引き続き問題解決にあたっているということです。
病院側は再発防止策として、個人情報の取り扱いについて指導を徹底するとともに、定期的に個人情報の保有状況を調査することで、各職員のセキュリティ意識を向上させるということです
ニュースから読み取れる3つの課題と対策
今回のインシデントには大きく3つの課題があります。それは「個人契約のクラウドサービスを業務利用していたこと」と「アカウントがフィッシング詐欺にあったこと」と「組織の規約に違反していたこと」です。フィッシング詐欺と規約違反については一般的なセキュリティ対策となりますので、今回は個人契約のクラウドサービスを業務利用していたことの対策について説明します。
個人契約のクラウドサービスを業務利用していたことについて、具体的なデータの持ち出し経路は不明ですが、一般的にはネットワークやUSBメモリなどを経由して個人契約のクラウドサービスへコピーされていたことが考えられます。
ネットワーク経由でデータが持ち出されていた場合、外部ネットワークへの通信が適切に制限されていることが必要です。具体的には、VPNやCASBなどで制限することが可能です。CASBとは、Cloud Access Security Brokerの略で、クラウドサービスにおけるセキュリティの考え方です。クラウドサービスの利用状況を可視化して、利用できるクラウドサービスを組織側で制御し、個人契約のクラウドサービスが許可なく業務利用されることを制限します。パソコン自体が持ち出し可能であった場合も、CASBの利用をシステム側で強制することによってデータの持ち出しを防ぐことが期待できます。
また、USBメモリなどを経由してデータが持ち出されていた場合、パソコンのUSB利用を制限することが必要です。OSの設定やエンドポイントに導入されるセキュリティ製品でUSB利用を制限できる場合があります。USBメモリは利用するのがお手軽なうえに紛失のリスクも高いので、代替案を用意したうえで適切に制限することをお勧めします。
その他のトピックはこちら
シャドーⅠTについて
今回のインシデントはシャドーITの問題が大きいと考えられます。今回のインシデントにあてはめながら説明します。
関連リンク
シャドーⅠTに気を付けて