誰もが知る大企業の法人向けクラウドサービスのセキュリティがゆるゆるな件

あえて名前は出さないのだが、今まで誰も気づかなかったのだろうかと、唖然としたセキュリティレベルの企業向けクラウドサービスのお話。

誰もが名前を知っている日本国内の某大企業が提供している、法人向けのクラウドサービスなのだが、仮想サーバーをOSレベルから自由に構築でき、社内ネットワークとVPNで接続したり、公衆のインターネットに対する仮想ファイアウォールを構築することもできる。

そして顧客企業のIT担当者が、同クラウドサービスの管理画面からログインして、仮想サーバーや仮想ファイアウォールの構築・変更・削除、また、仮想サーバーのコンソールを遠隔で直接操作することもできる。非常に利便性の高い法人向けクラウドサービスである。

ここまでは、法人向けクラウドサービスとしておかしな点は何もない。

ところが、である。顧客企業のIT担当者が使用する管理画面が、驚くべきことに公衆のインターネットにウェブで公開されており、認証がユーザ名とパスワードしかないのだ。もちろんSSLで暗号化されているが、ポート番号は443のウェルノウンポート。

グーグルやDropboxなど、個人向けクラウドサービスでさえ、ユーザ名・パスワードによる認証だけでなく、手持ちのスマートフォンをトークン代わりにした2要素認証になっている。そして最近では、セキュリティ対策が遅れに遅れていたアップルのApple IDとiCloudでさえ、有名人のプライベート写真の流出騒動をきっかけに2要素認証に対応した。

にもかかわらず、上述の日本の大企業が提供している法人向けクラウドサービスの管理画面、つまり、クラウド上の仮想サーバーや仮想ファイアウォールの設定をどうにでも変更できる画面が、グーグルやDropboxのような個人向けサービスと同じように公衆のインターネットに公開されており、しかもユーザ名・パスワードの認証しかないのである。

さらに驚くべきことに、今まで同サービスを導入してきた顧客企業から、管理画面が2要素認証になっていない点に対する指摘がなかったらしいのだ。

いや、正確に言うと指摘があったかなかったかは分からないのだが、当然、誰もが名前を知っている大企業なので、顧客企業から強い指摘があればすでに2要素認証になっていたはずだろう。

しかもこの大企業の同サービスと競合する、米国の法人向けクラウドサービスの管理画面は、以前からすでにユーザ名・パスワードによる認証に加えて、スマートフォンをトークンとする使い捨てパスワードによる2要素認証になっていたり、管理画面にログインできるグローバルIPアドレスの制限を自分で設定できたりする。

2要素認証がなければ、管理画面のユーザ名とパスワードが知らない間に漏えいした場合、不正アクセスを未然に防ぐことができない。

たとえば某通信教育大手の個人情報漏えい事件を思い出してみよう。

あのケースのように、上述の大企業の法人向けクラウドサービスを導入した顧客企業が、管理画面を使った管理作業を常駐の業務委託先社員や派遣社員にさせていたとしよう。

すると、業務委託先社員や派遣社員は、自宅の私物パソコンからでも管理画面にログインして、仮想サーバーなどの設定をいつでも変更できることになる。クラウド上のサーバーに個人情報や機密情報があれば、たとえば第三者と共謀するなどして、抜き放題になる。

もしも2要素認証になっていれば、例えばトークン代わりになっているスマートフォンを、退社時に持ち帰ることを禁止する、あるいは、管理画面にログインできるグローバルIPアドレスを制限するなどして、社外からのログインを防止できる。

上述の大企業の法人向けクラウドサービスは、いわば、裏口にゆるい鍵が一つしかついていない家のようなものだ。

僕が個人的にいちばん驚きだったのは、そのことを同社の既存の顧客が指摘しなかったこと、つまりどの顧客企業も「2要素認証にしてくれ!」と要望しなかった点だ。

同サービスの顧客企業には、サービスを提供しているその会社と同じく、日本人なら誰もが名前を知っている会社が名前を連ねている。

いかに日本の大企業が公衆のインターネットのセキュリティ・リスクについて認識が甘いかが分かる。日本のインターネットが海外とつながっていないとでも思っているのだろうか。

そういう企業がもし、社員が会社のPCを私用で使わないように、ウェブフィルタリングのシステムに投資していたとしたら笑いものだ。いちばん大事な扉を二重鍵にせず、どうでもいい換気窓に鉄格子をつけているようなものだからだ。

まあ、日本のIT業界のガラパゴスっぷりには驚かされることが多々ある。上述の大企業が提供している法人向けクラウドサービスの裏口のゆるさと、その顧客企業の呑気さもその一つだ。