外部委託先 / SaaS起点のリスク

学習のねらい

情報セキュリティのリスクは、自社内だけでなく、業務を委託している外部の会社や、 利用しているSaaS (Software as a Service、クラウド上で提供されるソフトウェア) からも発生する可能性があります。 このレッスンでは、外部委託先やSaaSを起点とする情報漏洩やセキュリティ事故のパターンを学び、 その対策について理解を深めることを目指します。

1. 外部委託先からのリスク — サプライチェーン攻撃

業務の一部を外部の専門業者に委託することは一般的ですが、その委託先がセキュリティ事故を起こすと、 自社にも影響が及ぶ可能性があります。これを サプライチェーン攻撃 と呼ぶこともあります。

• 委託先がランサムウェアに感染:
  • 委託先がランサムウェア (データを暗号化し、復元と引き換えに金銭を要求するマルウェア) に感染した場合、 委託先に預けていた自社のデータも暗号化されたり、盗まれたりする可能性があります。
  • 委託先が持つ自社の顧客情報や機密情報が流出するリスクがあります。
• 委託先のセキュリティ対策不足:
  • 委託先のセキュリティ対策が不十分な場合、そこを狙った攻撃によって自社の情報が漏洩する可能性があります。
  • 委託先の従業員が、自社の情報を取り扱う際のセキュリティ意識が低いこともリスクにつながります。

なぜ危険なのか

自社がいくらセキュリティ対策を強化しても、委託先が脆弱であれば、そこが「穴」となって情報が漏洩する可能性があります。 委託先を選定する際には、セキュリティ対策の状況を十分に確認し、契約書で情報管理に関する取り決めを明確にしておくことが重要です。

2. SaaSの設定ミス — 公開バケットや緩い権限

近年、多くの企業が様々なSaaSを利用しています。 SaaS自体はセキュリティ対策がしっかりしていることが多いですが、 その「設定ミス」が原因で情報漏洩が起きることがあります。

• 公開バケット (Public Bucket) の設定:
  • クラウドストレージサービス (例: AWS S3) をSaaSの裏側で利用している場合、 本来は内部利用のみのストレージを誤って「公開バケット」として設定してしまうと、 インターネット上の誰でもアクセスできるようになってしまいます。
  • 特に個人情報や機密情報が格納されているバケットを公開してしまうと、大規模な情報漏洩につながります。
• 緩い権限設定:
  • SaaSのユーザー権限管理で、必要以上に広範な権限を付与してしまったり、 退職した従業員のアカウントを削除し忘れたりすると、不正アクセスや情報漏洩のリスクが高まります。
  • 「最小権限の原則 (Least Privilege)」に従い、必要な最小限の権限のみを付与することが大切です。

なぜ危険なのか

SaaSの設定は複雑な場合があり、誤った設定をしてしまうと、 意図せず情報が公開されたり、不正にアクセスされたりする可能性があります。 特にクラウドストレージの公開設定は、世界中からアクセス可能になるため、非常に危険です。

3. 新規SaaS導入時のリスク評価 — IT部門との連携

新しいSaaSを導入する際は、その利便性だけでなく、セキュリティリスクも十分に評価する必要があります。

• IT部門経由でのリスク評価:
  • 部署が独自にSaaSを導入する「シャドーIT」は、会社全体のセキュリティ管理の対象外となり、リスクが高まります。
  • 新しいSaaSを導入する際は、必ずIT部門や情報セキュリティ部門と連携し、 利用規約、セキュリティ対策、データ保管場所などを評価してもらいましょう。
• 情報セキュリティポリシーとの整合性:
  • 導入を検討しているSaaSが、会社の情報セキュリティポリシー (情報管理のルール) と矛盾しないか確認が必要です。
  • 個人情報の取り扱いに関する規約や、データのバックアップ体制なども重要な評価ポイントです。

なぜ危険なのか

安易なSaaS導入は、会社全体のセキュリティレベルを低下させる可能性があります。 IT部門は、会社全体の情報資産を守る責任を負っているため、 部門横断的な視点でのリスク評価が不可欠です。

まとめ

外部委託先やSaaSは、業務効率化に不可欠な存在ですが、同時に情報セキュリティ上のリスクも抱えています。 委託先の選定やSaaSの設定、新規導入時には、常にセキュリティの視点を持ち、 関連部門と連携しながら慎重に進めることが求められます。