この記事を書いているのは2022年5月16日なのですが、このニュースが飛び込んできたので取り上げることにしました。
「採用活動における個人情報漏えいの可能性に関するご報告とお詫び」(株式会社エイチーム)
結構、長期間かつ大量の個人情報という事なのですが、原因はGoogle Workspaceでの権限設定不備だそうで、共有リンクを知っている人なら誰でも閲覧可能だったそうです。
実は、クラウドストレージの権限設定不備での情報漏洩の可能性って時々ニュースになるんですよね。パターンとしては毎回一緒で「共有リンクを知っている人が閲覧可能」という理由によるものです。
クラウドストレージを使っていて、社内外とデータの共有(フォルダの共有)を行う際には一人一人のアカウントを閲覧可能または編集可能として登録する必要がありますが、現場的には「面倒くさい」と思っちゃうんでしょうね。そこで登場するのが共有リンクの生成になります。これだと関係者に生成されたリンクをメールで知らせるだけで共有できるので簡単ですね。しかも、生成されるリンクって一見複雑に見えるので「安全だろう」と思っちゃうんですよね。
しかしながら、誰に対して共有したのか管理できなくなるので、結果として共有する予定のない人や共有してはいけない人にも共有されてしまう事態を招いてしまいます。また、「まぐれ当たり」の可能性も否定できない状況になります。
いわゆるPPAP(パスワード付きZIPファイルをメールに添付しての共有)を禁止する流れからクラウドストレージでの共有を利用する機会が増えるかもしれません。その場合、安直に「共有リンクを知っている人が閲覧可能」にしてしまうと情報漏洩に繋がる可能性があります。
クラウドストレージでファイルやフォルダの共有を行う際には、必ず相手のアカウントを確認して共有相手に指定しアクセスできる人を制限することが重要です。万一の情報漏洩の可能性を考えると、面倒でも適切にアクセス可能な人を管理することが重要です。当然の事ながら、人事異動や退職でアクセス権限を持っていてはいけなくなったら、速やかに権限を外す事も重要です。