意外と知らない? ネットセキュリティの基礎知識

「プライベートで利用しているクラウドメール」の業務利用って、何が問題なの?

fujiwaraさんによる写真ACからの写真

 「シャドーIT」という言葉を聞いたことがある方はいますか? シャドーITとは、企業が許可していないIT機器やオンラインサービスを勝手に業務で使用する行為や状況を指す言葉です。私物のパソコンやスマホだけでなく、利用が容易なクラウドサービス、例えばクラウドメールやオンラインストレージを業務で利用することもシャドーITに含まれます。

 シャドーITが発生する裏には、自社で未導入の利便性が高いツールや、使い慣れたツールを手っ取り早く利用したいという気持ちがあると思いますが、こうした行動は企業にとってセキュリティリスクとなる可能性があります。

 例えば、みなさんは勤務先で次のような行動をとっていませんか?

ケース1:プライベートで使用しているクラウドメールに業務用の資料を送信し、自宅で仕事をした

 Gmailのようなクラウドメールサービスは、IDとパスワードを使ってログインできる環境であれば、どこからでもブラウザーで手軽に使えます。社外で仕事をしようとした場合、ついプライベートで利用をしているクラウドメールへ業務データを送信してしまうこともあるかもしれません。しかし、どこからでも使用できるクラウドメールの利便性はサイバー犯罪者にとっても同じです。フィッシング詐欺などによりIDとパスワードが悪意のある第三者に漏れてしまうと、不正にログインされてこれまでに送受信したメールを盗み見られたり、勝手にあなたのアドレスからメール送信されたりするリスクがあります。

ケース2:業務データを取引先と共有する際にプライベートで使用しているクラウドサービスを使った

 オンラインストレージは、メールでは添付できない容量の大きいファイルをやり取りする際に使える便利なクラウドサービスです。また、最近では、複数人での情報交換や共有に便利なチームウェアの機能を簡単に利用できるクラウドサービスも多く存在します。しかし、このようなクラウドサービスでは、設定や公開範囲を間違えてしまうことにより、意図しない相手からもアクセス可能になっていた、という情報漏えいに繋がりかねないリスクもあわせ持っています。実際、過去にはクラウドサービスの設定不備により、一部の省庁が持つ内部情報が外部から閲覧可能となっていたという事例がありました。

参考:JNSA「インターネットサービスの利用による情報漏えいの危険について」(2013年10月30日)

 私物端末やクラウドサービスを業務利用するにあたっては、勤務先でそれらの利用が認められているかを確認するとともに、利便性の裏にあるリスクを理解し、勤務先の定めるルールに従って行動しましょう。

連載「意外と知らない? ネットセキュリティの基礎知識」の記事

岡本 勝之(トレンドマイクロ株式会社)

セキュリティエバンジェリスト。トレンドマイクロ株式会社ビジネスマーケティング本部コアテク・スレットマーケティング部所属。製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年、日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして、特に不正プログラムなどのネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、それまでの解析担当により培った脅威知識を基に、セキュリティ問題、セキュリティ技術の啓発に当たる。トレンドマイクロの情報セキュリティ啓発サイトはこちら「is702(アイエス・ナナマルニ)インターネット セキュリティ ナレッジ」