クラウドサービスの無断利用で違反者になる恐れあり【便利なツール利用にはリスクがあることを認識しよう】
ストレージやメール、オフィスソフトなど、クラウドサービスは会社、個人利用問わず、とても便利ですよね。
でも、この便利なサービスも使い方次第で、違反者になってしまう可能性があるんです。
クラウドサービス利用の背景
数年前、今のようにスマートフォンが行き渡る前はパソコンを持つ人も限られ、プライベートにクラウドサービスを利用するシーンは多くありませんでした。
会社でも自分専用のパソコン上で操作し、オフィスソフトで作成したデータやメールの送受信データは自分のパソコンや会社内のファイルサーバに保管していたと思います。
それがスマートフォンの浸透とそれに伴う大量のデータを保管するクラウドストレージが充実してくると、プライベートなシーンで、共有するクラウド上のデータを様々なデバイスで利用することが当たり前になってきます。
折しも、働き改革が叫ばれる中、自宅や外出先で業務を行うには、会社にリモートアクセスする面倒な手順よりも、「プライベートで使い慣れているクラウドサービスを利用した方が簡単!!」なんて考えるのは、自然な流れかもしれません。
会社では業務で扱うデータの管理ルールが徹底されていると思いますが、個人の意識としてはそういったプライベートなデータを扱う感覚(←というよりどこに存在しているか意識しない)と同じように業務データを捉えるようになっていると思います。
そして、この意識は、今後もますます高まっていくでしょう。
クラウドサービスのリスク
クラウドサービスの信用性に疑いを持つ人はどれくらいいるでしょうか。
不正に個人情報データを狙う攻撃者にとって、データが集まるクラウドは格好のターゲットです。それぞれのクラウドサービスによって、攻撃に対する堅牢性のレベルやバックアップ運用、情報公開に対する姿勢は異なっているでしょう。また、提供会社による突然のサービス停止なんかもあり得ます。
利用者側でも、クラウドサービスへ登録する操作で、誤って誰でもアクセス可能な状態にしてしまう可能性があります。
会社の業務データを許可なくクラウドサービスに保管して、それが情報漏洩したらと思うと恐ろしいですよね。
改正個人情報保護法、GDPRなどの法令違反に当たる場合も
扱うデータが顧客の個人情報だった場合、クラウドサービスに登録するだけで法令違反になってしまう場合があります。
個人情報保護法は2017年に改正施行され、個人情報をより厳密に扱うルールとなっています。この中で、個人情報の第三者提供や委託が発生する場合、本人の同意が必要などとされています。クラウドサービスの形態によりますが、登録した時点でこの義務が発生する可能性があります。
GDPR(General Data Protrction Reguration)とはEU(欧州連合)における個人情報保護の枠組みのことで、EEA(欧州経済領域)の域外への個人情報の移転を原則禁止としているものです。これに違反した場合は、高額な制裁金が課せられることになるようで、その金額は、なんと最大で「企業の総売上の2%または1000万ユーロ(2019年12月7日時点で約12億円)」にもなるみたい。。。
クラウドサービス利用状況の可視化
企業側の対策としてはクラウドサービスの利用ルールの徹底が必要ですが、一方、実態を適切に把握することも重要です。
企業側が把握しているクラウドサービスの利用数より、実際には桁違いのクラウドサービスが利用されていると言われています。これはシャドーITと言われていて、企業にとってコントロールできない、リスクそのものですね。
これらのリスクに対応するのに有効なツールとして、CASB(Cloud Access Security Broker)というものがあります。
CASBは2012年に米ガートナーが提唱した考え方で、ユーザとクラウドサービスの間にコントロールポイントを設置して、一貫性のあるセキュリティポリシーを適用するというものです。
CASBの一つの機能として、どのようなクラウドサービスが利用されているかを可視化する機能(シャドーITレポート)があります。
クラウドサービスの利用状況はもちろん、クラウドサービス自体の安全性をスコアで定量評価したり、アップロードしたデータの中に個人情報や知的財産などが含まれていないかを調べて、必要に応じて通信を遮断したりする機能です。
クラウドサービスの利用においては、企業のセキュリティ担当者はもちろんですが、利用者側も自分が違反者になる可能性があることなどリスクを認識するようにしましょう。