設定ミス
企業が収集した情報が悪人の手に渡るような事態は、どういう経緯で発生するのでしょうか。内部関係者が売る場合もあれば、標的型攻撃で漏洩する場合もありますが、よくあるのは、サービスやプログラムの設定ミスによって個人を特定可能な情報が見えてしまう場合です。先日も、個人を特定可能な情報が3,800万人分も露出していることをUpGuardのリサーチャーが発見しています(英語記事)。情報の漏洩元は、Microsoft Power Appsで作成された、設定の甘いWebアプリケーションでした。幸いなことに、悪意ある人たちの目に情報が触れることはなかったようです。
Power Appsのデフォルト設定
Microsoft Power Appsは、多額の開発費用を注ぎ込まずにアプリとWebサイトをローコード開発(それほど大量のコードを記述せずに開発)できるツールです。Power Apps の公式Webサイトには、ITやプログラミングの経験がなくてもアイデアを具現化できたという利用者たちの声が紹介されています。
問題の根本にあるのは、この簡便さです。IT関連の経験がない人が情報セキュリティ面を考慮せずにPower Appsを使用したら、できあがったツールは当然、セキュリティ面の欠陥を抱えます。UpGuardによる調査では、Power Appsで作成したツールで収集した個人情報を安全に保管していなかった企業および政府機関は47に及びました。
技術的な説明を割愛して簡単にまとめると、Power Appsを使用することで、情報共有と情報収集が可能なツールの作成が可能です。共有する(または収集された)データは表の中に保存され、アプリの作成者は表へのアクセスを有効化することができます。既定では、アクセスは無効になっています。アクセスを有効にすれば情報を共有しやすくなりますが、一方で、基本的に誰でも情報にアクセスできる状態になるということでもあります。収集された情報が社外から見えるようになっていたのは、こうした理由からでした。
自社と顧客をデータ漏洩から守るには
リサーチャーの報告を受け、MicrosoftはPower Appsのデフォルト設定を変更しました。現在は、個人情報を収集する新規プロジェクトを作成した場合、部外者がアクセスできないような形で情報が保管されるようになっています。しかし、このアップデートが行われる前に作成されたアプリとWebサービスは、脆弱性を抱えたままです。Power Appsを自社で使用している場合、特に、個人を特定可能な情報を集めて保管するアプリを作成してある場合には、この種の漏洩が起きないように、設定オプションを徹底的に見直す必要があります。
しかし、この問題はもう少し広範囲にわたります。Power Appsは、ITの専門知識がない人でもサービス、アプリケーション、Webサイトが作れるローコード開発用プラットフォームであるだけではありません。こういったツールは社内のタスクをこなすためだけに作成されていることが多く、セキュリティ部門がツールの存在をまったく知らない場合があります。さらに、ツールにはソースコードの脆弱性が含まれる可能性があり、別の業務プロセスに統合されるときにエラーが発生したり、設定ミスが起きたりします。
したがって、ローコード開発プラットフォームを使用する場合には、以下をお勧めします。
- 公開済みのアプリ、公開前のアプリの両方について、セキュリティとプライバシーの設定を十分に確認する。
- ビジネスプロセスでこのようなプラットフォームを使用していることを、情報セキュリティ部門に知らせる。
- セキュリティ監査を担当する人材が社内にいない場合は、外部専門家の力を借りる。
ヒント