侵入ぐらいは“かすり傷”――クラウド／SaaSへの侵入が簡単になった今、企業はどう“実害”を防げばいいのか：ITmedia Security Week 2023 秋 2023年8月に開催された「ITmedia Security Week 2023 秋」において、サイバーセキュリティの専門会社トライコーダの現役ペネトレーションテスター、上野宣氏が「クラウドサービス上の機密情報を攻撃者は如何にして奪取するのか」と題して講演した。

3行でわかる本記事のサマリ 企業のテレワーク・クラウドシフト等の環境変化によって、セキュリティ運用の対象が広がり、セキュリティ運用はますます負荷が拡大している。 セキュリティ運用の定常作業は自動化に頼ることで負荷を下げることが可能。 セキュリティ運用の自動化にはSOARと呼ばれる製品群を活用する。 目次 サイバー攻撃の現状と課題からみたセキュリティ運用の重要性 セキュリティ運用の自動化が求められる理由 SOARとは？セキュリティ運用自動化に欠かせないツールを解説 SOARツール「クラウドストライク」の特徴 はじめに テレワークの普及や業務システムのクラウドシフトが今では当たり前になった結果、セキュリティ対策を実施すべき対象の拡大により、セキュリティ運用負荷が増加してその対応に追い付いていない状況の企業様も多くいらっしゃるかと思います。 このブログではセキュリティ運用負荷や運用担当者の人財不

病院の患者情報（氏名、生年月日、性別、病歴や治療経過等）が保存されたUSBメモリを外部で紛失するという事故が発生しました。患者さんの大切な個人情報を扱う組織として、深く反省するとともに、患者さん、ご家族、その他関係者のみなさまに、多大なご迷惑をおかけしたことを深くお詫び申し上げます。 該当患者さんや御家族に対しては丁寧な説明と謝罪を行うとともに、不審なことなどあった場合は、下記問い合わせ先で対応することとしております。 なお、現時点では、個人情報が不正に外部に流出したことは確認されていません。 １　概要 令和５年９月２日（土）から３日（日）未明にかけて、当センターに勤務する医師の自宅で盗難事件が起こり、20人分の患者さんのカルテ情報が保存されたUSBメモリが持ち去られるという事件が発生しました。直ちに、警察に通報しましたが、USBメモリは未だに見つかっておりません。 ２　経過 【令和５年９

神奈川県立こども医療センターは2023年9月6日、同院に所属する医師が患者20名の個人情報が記録されたUSBメモリを盗まれ、所在不明になったと明らかにしました。 センターによると、医師は業務上の理由でUSBメモリを自宅に持ち帰り保管していました。ところが2023年9月2日～2023年9月3日にかけ、医師の自宅にて盗難が発生。何者かによりUSBメモリが持ち去られ、所在不明となりました。 医師は事件発生後、警察に通報しています。しかし、公表時点で発見には至らず。USBメモリには患者20名の氏名や病歴などの個人情報が記録されていたため、流出の懸念が生じています。 医師はUSBメモリを業務上の理由で持ち帰りましたが、センターの許可は得ていませんでした。センターはこのため、情報セキュリティ教育を徹底し、外部記憶媒体の適正な取扱いについて注意喚起すると発表。さらに病院内のシステム設定を変更し、外部記憶

生活困窮者支援を行う民間事業者のホームページが不正アクセスを受け、県の委託事業に関連して当該事業者が収集した個人や団体のメールアドレスが流出していることが判明しました。 1 概要 県の研修事業の委託先である民間団体「かながわ生活困窮者自立支援ネットワーク」が運営する「かながわ生活応援サイト」が不正アクセスを受けたことにより、 本日、県の所属メールアドレス及び職員の業務用個人メールアドレスに、複数の不審メールが送付されました。 当団体に状況を確認したところ、研修参加者に関する個人情報の流出が判明しました。 2 流出した個人情報 県の委託事業により収集している個人情報は、研修参加者の所属、氏名、メールアドレスですが、詳細については、委託事業者において、現在確認中です。 なお、これまでの研修参加者を含む流出データ数は約500名分です。 また、流出したデータについては、抜き出された可能性も含めて、

画像：神奈川県より引用 神奈川県は2023年9月4日、県が研修事業を委託する民間団体「かながわ生活困窮者自立支援ネットワーク」運営の生活困窮者向けサイトが何者かの不正アクセスを受け、研修参加者に対する不審メールなどの二次被害が確認されたと明らかにしました。 神奈川県によると、被害を受けたサイトは「かながわ生活応援サイト」のウェブサーバーです。対象サーバーには団体が実施する研修の参加者等の氏名や所属、メールアドレスなどが記録されていましたが、サーバーが乗っ取られ閲覧できない状態に陥ったとのこと。また、研修参加者に対する、弁護士を騙る複数の脅迫メールも確認されています。 神奈川県によると、公表時点で団体は「研修参加者に関する個人情報の流出が判明」との立場を取っています。団体は流出規模を500名程度見ているものの、公表時点で対象データにはアクセスできず、バックアップもなく、復旧も困難とのこと。

画像：アジア航測株式会社より引用 アジア航測株式会社は2023年9月5日、同社が高知県より受託している「令和５年度スマート林業支援委託業務」の林業事業者向け登録向けサイトにて本来公開を想定していない森林所有者4,244人の個人情報を含むデータを誤掲載したと明らかにしました。 説明によると同社は2023年8月、発注者である高知県から情報流出について連絡を受けたとのこと。同社が調査したところ、受託している林業事業者登録制ウェブサイトにて、仁淀川町（旧仁淀村）3,605人、馬路村638人、土佐市1人、合計4,244人の個人情報が掲載されている事実が判明しました。 同社が掲載した情報は既にユーザーである一部事業者にダウンロードされたことがわかっています。同社はこのため、対象となる事業者に連絡を取り、データの削除を確認したとのこと。今後は情報管理と再発防止を徹底するとしています。 参照高知県林業事業

教育委員会生涯学習課において放課後学習教室への参加者の保護者に宛てた電子メールを誤送信し、122件のメールアドレスが流出する事案が発生しました。経緯としては、8月23日に川角小学校（37名）、光山小学校（30名）、9月1日に毛呂山小学校（32名）、泉野小学校（23名）の保護者へ外部一斉形式で発信する際、保護者のメールアドレスを本来「BCC」欄に入力すべきところを「宛先」欄に入力し送信していたものです。なお、メールアドレスには個人名を識別できる文字列が入っており、送信後、保護者から誤送信の連絡を受け事実が判明しました。 また、本件を受け、過去に遡って調査を行ったところ、同課において、PTA連合会正副会長会議の開催について、同様の事案が発生しており、メールアドレスの流出が発覚いたしました（令和5年5月25日、6月16日、8月9日の計3回）。

画像：毛呂山町より引用 埼玉県毛呂山町は2023年9月1日、町の教育委員会生涯学習課が電子メールを誤送信し、合計122件のメールアドレスが流出したと明らかにしました。 毛呂山町によると同課は町内各小学校の放課後学習教室参加者の保護者に宛て、外部一斉メールを発信しました。ところが、担当者はメールアドレスを送信欄に入力する際、本来「BCC」で送信すべきところを「宛先」欄に入力し送信していたとのこと。電子メールは2023年8月23日と2023年9月1日に送信されましたが、町が確認したところ、いずれも誤りであると判明しました。 毛呂山町は事案を受け、保護者に個別に連絡を取りメールの破棄を依頼しています。公表時点で流出情報の不正利用等は確認されておらず、今後は送信前チェックなどを徹底し再発を防止するとしています。 参照電子メールの送信時における個人情報の流出について/毛呂山町

政府と自治体が共同で利用するクラウドの整備に向けて、デジタル庁は、整備する事業者の公募に当たり、企業連合での参入を認めるなど要件を緩和することを明らかにしました。これまで巨大IT企業などに限られていたクラウドの整備の分野で日本企業の参入が広がることも期待されます。 これについて、河野デジタル大臣は閣議のあとの会見で、今年度の政府のクラウド整備を担う事業者の公募について、要件を緩和した上で、12日から始めることを明らかにしました。 昨年度までは、330ほどの技術要件を1社で満たす必要があり、公募で選定されたのは、アメリカの巨大IT企業であるアマゾンやグーグルなどの日本法人に限られていました。 これに対し、今回は、一部の技術要件について、複数の企業による企業連合での参入や、他社のソフトウェアの利用を認めていて、参入する企業を増やし、競争を促すねらいがあります。 デジタル庁によりますと日本企業か