何が起こったのか？

www.itmedia.co.jp

4月5日深夜から6日にかけてプロジェクト管理ツール「Trello」で個人情報が閲覧できるという情報がネット上で拡散した。Trelloはボードと呼ばれるスペースに文書や写真を登録したカードを並べて情報を管理、さらにカードを移動して進捗管理ができるサービスである。 ボードの公開設定は既定で関係者だけに公開されるようになっているが、これがインターネット全体に公開される設定へ利用者のミスで変更されてしまった。 オープンなプロジェクトであれば問題のない設定であるが、たとえば企業内部の極秘プロジェクトで進捗管理を行ったり、採用活動の個人情報をまとめ手管理したりする場面で使うと情報漏洩を引き起こしてしまう。

Trello公式ブログではミス防止について新しい記事が投稿されていて、意図せずにボードが公開されないように注意を促している。

www.atlassian.com

過去にも誤操作による個人情報漏洩事故があった

クラウド型サービスは従来のようにアプリケーション用のサーバーを設置するオンプレミス型サービスと比べて、次の特徴があります。 1. 導入が早く、サーバーの設置やアプリケーションのインストールなど初期の費用、作業が少ない。 2. 月額使用量に応じた課金など、費用請求が柔軟に行われる。 3. パソコンやスマートフォン、企業内や自宅など使用する機器や場所を問わずに利用できる。

3番目の特徴のように何時でもどこからでも使える利便性の反面、設定を間違うと機密情報がインターネット上に公開されてしまうリスクもはらんでいます。 2021年2月にはSalesforceの製品でデータのアクセス権設定不備により意図せず情報が公開されてしまいました。

https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf

どのような対策が有効か？

クラウド型サービスは利便性が高い反面、設定不備やサービス管理側の誤操作、サイバー攻撃で個人情報漏洩が発生してしまうリスクがあります。 クラウド型サービスはサービス間で情報を連携する機能があり、たとえばTwitterへ投稿したツイートが自動でFacebookにも表示されるなどが一例です。情報を共有しやすくするための機能が裏目に出て、意図しない情報流出が発生しやすいとも言えます。 中小企業における対策の第一歩はインターネットの接続できるパソコンやスマートフォンをできるだけ少なくして、社員が勝手にクラウドサービスを利用しないようにすることです。もしBUFFALO製のルーターをお使いなのであれば以下のWebページが参考になります。

www.buffalo.jp