クラウドサービスに起因するセキュリティインシデントレポート【2023年7月〜9月】

〜10万件以上の個人情報が設定ミスを通じ流出か〜

株式会社Cloudbase(以下「当社」)は、2023年7月1日から2023年9月31日までに公表された、被害規模1,000件以上の主な個人情報漏洩事件に基づき、『クラウドサービスに起因するセキュリティインシデントレポート』を発表いたします。

■増加し高度化するサイバー攻撃

日本国内の大企業はDX推進や、コスト削減の観点で、クラウドサービス利用率を急速に高めています。特に資本金が50億円以上の大企業においては、半数以上がクラウドサービスを導入しています。(※1)

普及した大きな要因としては、クラウドサービスが自社内にシステムを所有し運用するオンプレミス型のサービスと比較して、初期コストが低く容易に運用を行えることが挙げられます。

一方で、個人情報の流出を伴うセキュリティインシデントが後を絶ちません。2012年以降の11年間の累計で、日本の人口に匹敵する1億2,500万人分の個人情報が漏洩したとされています(※2)

直近では、2023年7月1日から2023年9月31日における事故件数が27件で、漏洩した個人情報は合計で917万人にのぼりました。(※3)

◾️クラウドサービスに起因する情報漏洩事案

今回調査対象とした27件の個人情報漏洩事案のうち、2件がクラウドサービスに起因する事案である可能性が高いとわかりました。2つの事案で合計103,438件もの個人情報が流出。

この103,438件もの個人情報は、クラウドサービスにおける正しい設定によって防御できた可能性が高いと考えられます。

◾️設定ミスによるインシデントを防ぐための対応策

クラウドサービスに起因するインシデントを防ぐためには、クラウド上に構築したシステムのセキュリティを確認し、常に安全な状態に保ち続けることが重要です。

総務省による「クラウドサービス利用・提供における適切な設定のためのガイドライン」の基本方針「クラウドサービス利用におけるガバナンスの確保」(※4)では、企業や組織におけるクラウド利用方針やガバナンスを集中的に行う役割として「CCoE(Cloud Center of Excellence)」を設置し、組織横断的にクラウドの管理をすべきと提言されています。

さらに、クラウド上の各種システムの「今」の状態を確認し、設定ミスや脆弱性などを検証してセキュリティを担保する「CSPM(Cloud Security Posture Management)」を用い、継続的なセキュリティチェックや、クラウドサービスの運用の実態を把握することが重要であると考えられます。

<出典>

※1 キヤノンエスキーシステム株式会社「統計から見る!企業のクラウドサービス利用状況」
https://www.canon-esys.co.jp/dayone/resource/900/

※2 警察庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf

※3 株式会社セキュアオンライン「個人情報漏洩事件・被害事例一覧」
https://cybersecurity-jp.com/leakage-of-personal-information

※4 総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」
https://www.soumu.go.jp/main_content/000843318.pdf

出典:PRTimes クラウドサービスに起因するセキュリティインシデントレポート【2023年7月〜9月】