KDL BLOG

2020.03.17
セキュリティ

システムでは守り切れない!クラウド利用現場で重要なセキュリティポイント

KDLでは、個人情報を扱うシステムの構築や、クラウドサービスの導入支援、CMSを利用したサイト構築、など、お客様自身がログインして利用していただくシステムの開発をしています。納品するシステムは、セキュア開発に取り組んだりセキュリティ診断を行うなど様々な対策を施しています。

しかし、システム側でセキュリティ対策を施しても、システムを運用する現場のセキュリティ対策なしにはセキュリティは担保できません。今回は、システムで利用するアカウントの管理について、ユーザーが気にすべきセキュリティリスクと対策を、例を踏まえながらご紹介します。

カスタマーサクセスの松丸です。

CMSやコミュニケーションツール、タスク管理ツール、ログ解析や販促ツールなど、これまで多くのサービスやシステムを利用していますが、システムを利用するなかで「ユーザーの自分が気を付けなくてはならない」と思う場面に数多く遭遇しました。

今回は、クラウドサービスを利用するユーザーの皆様に取り組んでほしい、不正アクセスを防ぐための「クラウドサービスの運用に関するセキュリティ」について紹介します。

ユーザーの権限管理を設定する

「権限設定がよくわからないので、全員システム管理者権限なんです。」

WebサイトのCMSやタスク管理ツールなどで遭遇した場面です。設定方法がわからなかったり、「ここ触りたいんですけど権限開放してもらえませんか?」とたびたび個別に言われたり、設定できる人が限られると不便、という理由で全員システム管理者にしている、というケース。

なぜ権限が必要か?

全員がシステム管理者の権限を持つのもよくないですが、それより大きな問題は、システム管理者のアカウントが多数存在することで、システム管理者のアカウントが悪用されるリスクが高まることです。

例えば、総当たり攻撃などでひとつでも強制ログインできてしまうなら、管理者権限でそのシステムを完全に乗っ取られてしまう可能性が大きくなります。

自分の権限を確認してみましょう。サービスを利用するチーム上では一ユーザーなのに、重要な管理機能が見えている場合は、全体で権限設定を見直すことをお勧めします。また、ご自身が管理している場合は、管理者権限を持つアカウントはできるだけ一つにして、管理者権限が必要な場合のみ、そのアカウントを利用しましょう。

user_sec_001.png

ここで重要なのは、普段使うものはそれとは別に、必要最低限の権限を持つアカウントを作るようにすることです。有事の際の被害をぐっと抑えられます。

不要アカウントは削除する

「有効アカウントがやけに多くないですか?」
「あ、それ退職者のと、外部協力ユーザーさん用に作ったアカウントですね。」

不要になったアカウントの消し忘れ、これもあるあるのパターンだと思います。

クラウドサービスを利用する際は、アカウント管理を自社の情報システムを管理するチームに相談することで、不要なリスクを減らし、クラウドサービスの活用に専念できます。
ただ、現場で独自にクラウドサービスを活用する場面が増えている近年では、現場の一ユーザーが管理を担うこともあると思います。退職やユーザーの変更に伴う処理フローを作っておくことに加え、大勢のユーザーがいる場合は定期的に確認するとよいでしょう。

パスワードは使い回さない

異なるサービスで同じパスワードを使っている方は多いのではないでしょうか。ひとつのサービスでIDとパスワードが漏えいした場合、他のサービスでも不正ログインされてしまう可能性があります。パスワード自体は、アルファベットと数字の組み合わせや大文字小文字を混在させるなどのパスワードポリシーがサービスで設定されていて、推測されにくいパスワードをサービス側で要求するものも多いですが、使いまわしは自分で気を付けるしか方法がありません

忘れてしまわないように、ついつい同じパスワードを使いがちですが、特に個人情報などの重要なものを扱うサービスは、パスワードの使いまわしに気を付けましょう。

user_sec_002.png

また、利用しているサービスからパスワードが漏洩してしまうリスクはコントロールすることはできません。ユニークなパスワードの設定に加え、多要素認証が備わっているサービスの場合には活用し、パスワードが漏洩した場合のリスクを減らしましょう。

使わなくなったサービスは速やかに削除する

プロジェクトの期間だけ使うために登録したチャットサービスや、一時的に作成したアンケートフォームなどがそのままになっているケースも多いようです。各サービスごとにユーザー登録をしているものを使わなくなってから放置されていたり、フォームの内容が残ったまま置いてあることがあります。

期間限定で利用した、などで使わなくなったサービスの登録は削除しましょう。不正ログインされてチャットが乗っ取られたり、フォームの中身を見られたりする可能性があります。

最後に

個人でも企業でも簡単に利用できる、便利なクラウドサービスが増えています。KDLでは、企業の基盤となるシステムは経営企画部中心にセキュリティに配慮して導入、監視などを行っていますが、部署ごとに導入を検討するクラウドサービスについては、ポリシーを策定し、自社および事業者ごとにチェックリストを設けるなどの対策をしています。

しかし、使うユーザーの意識次第でセキュリティ品質は変わってしまうのが現状です。誰もがシステムを個人単位で利用できる時代だからこそ、社内のルールは遵守し、加えて自身の意識をしっかり持っておくことが大切です。クラウドサービスを安全に活用していきましょう。

松丸

監修:飯島 憂

セキュリティ事業部

松丸

筆者:松丸恵子

カスタマーサクセス