クラウドベースのオンラインサービスは、チーム間の協力、情報の共有、グループ内のディスカッションなどに利用でき、多くの企業にとって便利なツールとなっています。しかし、ビジネス上の重要な内容を話し合ったり機密データをアップロードしたりする前に、オンラインサービスのプライバシー設定をどのように管理するかについて明確に意識しておく必要があります。
日本の多くの官公庁や企業は、このことを苦い経験から学んだようです。各紙の報道によると、Google グループをデフォルトのプライバシー設定で使っていたために、官公庁や民間企業で内部情報が公開されていた事例が 6,000 件以上も確認されたと言います。デフォルト設定のままにしておくと、事前に承認したメンバーだけでなく、誰でも自由にディスカッションのスレッドを閲覧できてしまいます。病院や学校で患者や生徒の情報が公開されていたケースのほか、支持者の一覧表が公開されていた政党が少なくとも 1 つあったと報じられました。それどころか、自社の記者が同じ失敗を犯したと認めている新聞社もあり、報道記事の下書きやインタビュー原稿が漏えいした可能性も否定できないと指摘しています。
日本政府は、職員が誤って内部メモを一般に公開したことを認めており、これは Google グループのオンラインディスカッションでプライバシー設定を誤ったことが原因だとしています。公開された内容には、水銀の輸出入に関する国際条約についての協議予定や、その問題をめぐってスイスとノルウェーの環境相間で交わされた議論なども含まれていました。環境省の担当者は、この内部メモは極秘のものではなかったが、同様の漏えいを防ぐ対策をすでに講じたと述べています。
クラウドサービスプロバイダがデフォルト設定を「非公開」にしている場合でも、誤って「公開」に設定してデータを公開してしまうという類似の事例がこれまでにも発生しています。このときも、12,000 以上のデータバケットが漏えいし、そのうち 2,000 近くが一般ユーザーの目に触れる結果になりました。これらのバケットは 1,260 億ファイルに相当し、その中にはソーシャルネットワークのデータや売上記録、ビデオゲームのソースコード、暗号化されていてないデータベースのバックアップデータまで含まれていました。
こうした事例は、悪質な攻撃がなくても人的エラーだけで機密データがいとも簡単に漏えいしてしまうことを如実に示しています。このようなエラーが至るところに見られたというのは、憂慮すべき事実であり、多くのユーザーが、コミュニケーションが非公開になっていると疑わず、自分自身では設定を確認していないことが示唆されます。コミュニケーションツールを使う際には、あらゆる情報が保護されるようにプライバシー設定を必ず確認してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。