クラウドサービスのアカウントを守る5つのセキュリティ対策

不正アクセスによる情報流出事件が後を絶ちません。2019年1月にはファイル転送を行うクラウドサービスの「宅ふぁいる便」からパスワードやメールアドレスを含む480万件もの個人情報が流出しました。

セキュリティの脆弱性を攻撃され、ユーザIDやパスワードが流出した可能性があるそうです。「宅ふぁいる便」に保存されているパスワードが暗号化されていなかったこともあり、大変注目される事件となりました。

警察庁が発表した「平成30年におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー犯罪の検挙件数は増加傾向にあり、30年中の検挙件数は9,040件と過去最多であったそうです。

不正アクセスを受けると、様々な被害に合う可能性があります。例えば、「インターネットバンキングでの不正送金」「インターネットショッピングでの不正購入」「メールの盗み見や機密データの不正入手」「なりすましによる偽の情報発信」「ウェブサイトの改ざんや削除」などの被害が報告されています。

不正アクセスの手口とセキュリティ対策

平成30年中の不正アクセス禁止法違反の検挙件数は564件と、平成29年と比べ84件減少したものの、過去5年では平成29年に次ぐ高水準であり、検挙件数のうち識別符号窃用型(ユーザIDやパスワードを不正に利用するタイプの事件)の手口の内訳は以下のとおりです。

  1. 利用権者のパスワードの設定・管理の甘さにつけ込んだもの(55.4%)
  2. ユーザID・パスワードを知り得る立場にあった元従業員や知人等によるもの(26.1%)
  3. 言葉巧みに利用権者から聞き出した又はのぞき見したもの(3.4%)
  4. 他人から入手したもの(2.6%)
  5. インターネット上に流出・公開されていたユーザID・パスワードを入手したもの(1.4%)
  6. フィッシングサイトにより入手したもの(0.6%)
  7. その他(10.6%)

ユーザID・パスワードを悪用された不正アクセス事件の手口としては、パスワードの設定・管理の甘さにつけ込んだものが278件と最も多く、約55%を占めているという調査結果になっています。

したがって、クラウドサービスのセキュリティ対策を考える上では悪意のある第三者が不正ログインできないように、ユーザIDとパスワードを適切に管理することが非常に大切なセキュリティ対策であると考えられます。

参考:警察庁「平成30年におけるサイバー空間をめぐる脅威の情勢等について」

クラウドサービスのユーザID・パスワードを盗用されないための5つの対策

IPA(独立行政法人情報処理推進機構)セキュリティセンターによると、自分が利用しているクラウドサービスに不正ログインされる危険性を低減するために、以下の5つの対策を推奨しています。

他人に推測されにくいパスワードを使用する。

他人に推測されにくく安全なパスワードの作成するために、以下の項目に注意する必要があります。

  1. 名前などの個人情報からは推測できないこと
  2. 英単語などをそのまま使用していないこと
  3. アルファベットと数字が混在していること
  4. 適切な長さの文字列であること
  5. 類推しやすい並び方やその安易な組み合わせにしないこと

異なるクラウドサービスでパスワードを使い回さない。

万が一流出したユーザIDとパスワードを他のクラウドサービスでも利用していた場合、そのサービスも不正アクセスを受ける危険性が高まるため、パスワードを使い回さないことが大切です。

パスワードは定期的に変更する。

他人に推測されにくいパスワードでも、ハッキングツールを使って長時間かければパスワードが割り出されてしまう可能性があります。そのため、パスワードは定期的に変更することが必要です。パスワードを変更することで、仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができます。

ユーザIDとパスワードの入力は確実に本物と判断できるサイト上でのみ行う。

偽物のサイトに誘導してユーザID・パスワードを盗み取る行為をフィッシングと言います。フィッシング被害に遭わないために、インターネットブラウザに表示されているURLが正しいか確認し、本物と判断できるサイト上にのみユーザIDとパスワードを入力しなければいけません。

セキュリティオプション(二段階認証、ログイン通知など)が提供されている場合は積極的に採用する。

ユーザーに2種類の認証情報を要求することにより、ログインする際のセキュリティを強化する「二段階認証」や、普段利用しない環境からログインがあった場合、ログインがあった旨の通知を受ける「ログイン通知」を利用することによって、セキュリティを強化することが可能です。

パスワードリセットの際に適切な本人確認の仕組みがあるか確認する。

万が一パスワードを忘れた場合に備えて、パスワードのリセット要求ができる場合には、リセット要求の際の本人確認の仕組みが適切であるか確認することが必要です。

参考:IPA「クラウドサービス安全利用のススメ」

参考:総務省「国民のための情報セキュリティサイト」

クラウドサービスのセキュリティが不安なら「AOSデータルーム」

クラウドサービスに機密データを保管するなら、セキュリティ対策が万全のファイル共有サービス「AOSデータルーム」を使用することをおすすめします。

「AOSデータルーム」は2種類の権限管理者から承認を受けないと機密データを見られないようにする「二段階承認」やデータや通信路の「暗号化」、「強固なパスワードポリシー」を採用しているため、アカウントのセキュリティ対策が万全です。

特に高度なセキュリティ対策が求められる個人情報や営業秘密などの機密データを保管する場合にはおすすめしたいクラウドサービスです。

機密データを保管するならセキュリティが安心の「AOSデータルーム」