準大手ゼネコンの三井住友建設株式会社(東京都中央区)は2021年1月25日、作業所に関連するデータの一部に対し、第三者による不正アクセス被害を受けたことを明らかにしました。(注1)
委託先バックアップサービスへの不正アクセスによる個人情報漏洩
三井住友建設によると同社の作業所内で扱う業務データの保管について複数の外部バックアップシステムが稼働しておりました。
今回、外部からの指摘を受け調査を進めたところ、そのうちの一つのシステムにおいて設定に不備があり、同システムを稼働させていた41台のバックアップサーバに保管されていたデータの一部が、不正アクセスされていたことが判明しました。
また、不正アクセスの対象となったデータの中には、一部関係者の氏名、メールアドレス、携帯電話番号等の個人情報が含まれているとのことです。
本件に関しては三井住友建設の公表と時を同じくして、株式会社ヒスコム(富山県砺波市)より「バックアップNASサービスの第三者による不正アクセスについて」との公表がなされました。三井住友建設の公表内容にある「外部のバックアップシステム」とは同社のサービスである可能性が高いものと想定します。(公式にアナウンスがされているわけではなく、あくまで想定となります)(注2)
セキュリティの観点において、本件に関連して学ぶべきもの、自社の対策を見直すポイントは何でしょうか。それは、「設定不備」と「委託先」というキーワードが関連します。
Salesforceの設定不備により多発する情報漏洩やセキュリティインシデント
近年、クラウド等の外部サービスの利用増加にあわせ、設定の不備により「意図せず情報が公開されてしまう」という事案が増えています。例えばAWS(Amazon S3)の設定不備による意図しない情報公開事案は、これまで米国を中心に、数多くの事例が報じられております。
日本においても直近では、楽天やPayPayといった企業にて、セールスフォース・ドットコムが提供するクラウドサービス(以下、Salesforce)の設定不備による、意図しない情報公開事案が話題となりました。特にSalesforceに関連する事案については、複数のメディアで報じられたとともに、内閣サイバーセキュリティセンター(NISC)も利用企業に注意喚起を行うまでに至っています。(注3)
もちろん「意図しない情報公開」のリスクは、Amazon AWSやMicrosoft Azure、Salesforceといった代表的なクラウドサービスのみ生じるものではなく、あらゆる公開システムの利用時において考慮すべき事項です。特に重要情報を保有する公開システムや、セキュリティ侵害により大きく自社ブランドの毀損に結びつくシステムに対しては、第三者によるセキュリティ診断を実施するなど、継続的な脆弱性とリスクの評価、評価結果に伴う設定の見直しを行うことが推奨されます。
外部に運用を委託しておけば安全?でもないセキュリティ
もう一点のポイントは、外部への委託そのものが、セキュリティリスクにならないかという点です。一般的には、委託先が提供するサービスの品質、セキュリティについては当然ながら委託先が管理するものと考えられているかもしれません。
例えば外部委託先のミス、不備により個人情報が漏洩した場合、被害のあった個人より、その責任が追求されるのは「個人情報を漏洩した外部委託先」ではなく、「外部委託を行った自社」です。その点については、まず念頭に置かなければなりません。
また、サイバーセキュリティの観点では、委託元となる大手企業に対してサイバー攻撃を行うにあたり、委託先から情報を窃取したり、攻撃基盤として利用する手法(サプライチェーン攻撃と呼ばれる)も確認されている点も考慮が必要です。
外部委託時に求められる情報セキュリティ管理体制のポイント
外部委託の際には、機密保持はもちろんのこと、委託先に自社が求めるセキュリティ対策水準を満たすことができているか、また、セキュリティインシデント発生時には、その調査対応に協力を得られるか等も、委託先に対して確認が必要なポイントになってきます。
外部委託の際に、自社の標準的なセキュリティ要求事項を提示できるように、「外部委託先管理規程」を整備し、規程と照らし合わせながら委託先の選定・管理を実施することも有効な手段であると考えます。
まとめ
ここまで説明してきたように、委託先などビジネス上の密接な関係性を持つサプライチェーン上のセキュリティの弱点を狙ったサイバー攻撃、「サプライチェーン攻撃」は厄介な問題です。たとえ自社が堅牢なセキュリティ対策をしていても、対策の弱い子会社や業務委託先などがサイバー攻撃を受け、情報漏洩やシステム停止などの深刻なインシデントが発生することがあります。
これらの課題を解決するには、事業に関わるサプライチェーン全体のセキュリティ状況を把握し、リスクを見える化することが重要となります。弊社では「P-SS 情報セキュリティ評価サービス」においてサプライチェーン全体のセキュリティ対策状況を把握し、どこに弱点があるか、攻撃を受けやすい脆弱性があるかを可視化、必要な対策の優先順位をつけることを可能にします。
⇒「P-SS 情報セキュリティ評価サービス」|PNC株式会社
https://www.pnc.jp/pss.html
ご興味がございましたら、ぜひお問い合わせください。
出典
注1:「作業所関連データの社外の第三者による不正アクセスについて」三井住友建設株式会社,2021年01月25日(最終アクセス日:2021年2月10日)
https://www.smcon.co.jp/topics/2021/01251500/注2:「【重要なお知らせ】バックアップサービスへの不正アクセスによる情報流出に関するお詫びとご報告」株式会社ヒスコム,2021年01月25日(最終アクセス日:2021年2月10日)
https://www.hiscom.co.jp/news/%E3%80%90%E9%87%8D%E8%A6%81%E3%81%AA%E3%81%8A%E7%9F%A5%E3%82%89%E3%81%9B%E3%80%91%E3%83%90%E3%83%83%E3%82%AF%E3%82%A2%E3%83%83%E3%83%97%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%B8%E3%81%AE%E4%B8%8D/注3:「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」内閣サイバーセキュリティセンター,2021年01月29日(最終アクセス日:2021年2月10日)
https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf
