事故から学ぶ

Trelloの個人情報流出について運営元が公式に説明 セキュリティ設定の定期的な見直しを呼びかけ

事故概要

業種 インターネットサービス
発生時期 2021/3/3-2021/4/5
漏えい人数 情報
事故概要

プロジェクト管理ツール「Trello」で個人情報がネットで公開されていた問題について、運営元のAtlassian(アトラシアン)は4月8日、新たな声明を発表した。同社はユーザーに対し、「Trello」のセキュリティ設定やボードの公開範囲を定期的に見直すことによって、ツールを安全に活用するようブログ上で呼びかけている。
「Trello」運営元のAtlassian(アトラシアン)は新たな声明を発表(以下、同社公式ブログより)
同社は、「Trello」に情報の公開範囲を管理できる機能や、意図しない情報公開を防ぐため、公開される内容についてユーザーの意思を再確認する仕組みが組み込まれていると説明。公開範囲には4つのプライバシー設定を用意しており、適切な設定に変更することを呼びかけている。また同社は、Trelloボードの公開設定などに不安があるユーザーを支援している。
公開範囲には4つのプライバシー設定を用意
同ツールを巡っては採用希望者の住所氏名などの個人情報や、従業員の運転免許証、パスポートなど身分証明書の画像も閲覧できる状態になっていた。Twitterでも就活生の個人情報や銀行の暗証番号とパスワード、企業の顧客情報などの流出が指摘されている。
また、内閣サイバーセキュリティセンター(NISC)も公式Twitterアカウントで「公開範囲の設定を確認してほしい」と注意を呼び掛けていた。
Atlassianが開発・提供しているTrello(トレロ)は、付せんのようなユーザーインタフェースで、実施すべきタスクである「ToDo」や、プロジェクトの進行状況を管理できるツール。
同社は、同ツールを企業や組織で活用する場合、社内で利用が許可されているものかどうかを確認し、社内のガイドラインにのっとった活用をするよう呼び掛けている。また、企業が保有する情報の管理体制の構築や強化、従業員へのセキュリティ教育などに努める必要性も強調した。

引用元 ITmedia

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-9(第20条)安全管理措置 作業ルールの徹底(システム管理、社内限り公開の確認)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか?
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?アプリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

■ 推奨対策

対策:

Webサービスからの情報流出 サービスの設定確認をWeb上のタスク管理ツール「Trello」からの情報流出が問題になっている。
この問題はTrello自体の不具合ではなく、利用者が意図せず公開設定をしたため発生している。
株式会社SPECは、採用面接対象の学生の個人情報を誤って公開設定にし、流出させたことを発表した。

Trelloに限らず、クラウドサービスを利用する際にはアクセス制御の設定は欠かせない。
サービスによっては、企業で集中管理する機能を持ち、外部公開を禁止したり、社内のみで利用できるよう設定できる場合もある。
今一度利用しているサービスのセキュリティ設定や利用方法の周知・教育状況を確認したい。

具体例:

プリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。