今年の春、日本を代表する自動車メーカーT社が子会社に管理を委託していたお客様情報の一部が、クラウド環境の設定ミスにより公開状態になっていました。 外部からお客様情報が見られる状態になっていた期間は、2013年11月から2023年4月までの約10年弱程度で、車体番号、車両の位置情報などが確認できる状態になっていました。 子会社や下請け会社に業務を依頼していて、個人情報や機密データ取り扱いのルールに関する説明不足や不徹底による情報漏洩が後をたちません。 また、クラウドストレージやクラウドサーバは、セキュリティの面で心配が残るという声も聞こえてきます。

この件においては、10年弱もの長きにわたって約250万人分のデータにいつでもアクセスできるようになっていたということでしたので、チェック機能に問題があったと言わざるを得ません。今後は、子会社との綿密な連携を図り、再発防止に努めるとのことで、クラウド設定の再調査を行い、クラウド設定を監査するシステムを導入。システムにより、継続的な監査を行うとのことです。この件で被害が最小限に抑えられたのは、公開されていてアクセス可能だったのは、車体番号、車両の位置情報、車載端末のIDなど一部の情報のみで、そこから氏名や住所、電話番号などの重要な個人情報に辿り着くのは難しかったためです。それであっても、大切なお客様情報には変わりがありません。

クラウドの設定ミスを防止するには

クラウドサービスの利用に伴う情報漏洩の多くは「設定の不備」にあると言われています。

その多くはサービス利用者の理解不足によるものが多いのですが、マニュアルに不備がある場合もあり、その原因は複雑で特定することが難しいです。クラウド設定を監視するシステムを導入するなどの対策が必要です。

• 総務省の「クラウドサービスを利用する際の情報セキュリティ対策」をお読みください。
• https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/15.html