事故から学ぶ
2024/04/11
労務管理クラウドで設定ミス、4年以上個人情報漏えいし続けた。
事故概要
| 業種 | 労務管理クラウドシステム |
| 発生時期 | 2020/1/5から2024/3/22 |
| 漏えい人数 | 162,830 |
| 事故概要 | 1. 本件の概要 お客様が保存するストレージサーバーのアクセス権限を誤り、4年以上の長きにわたり保存ファイルが外部から閲覧可能になっていた。 漏えいした個人データの項目: |
| 引用元 |
■ 事故原因
事故の原因はチェックリストの下記項目が該当すると推察します。
原因
・作業者によるサーバーのアクセス権限設定の誤り
・設定変更後のチェック体制の欠如で4年以上誤設定に気づかず
・管理体制不備で長期間漏えいし続け
発見の経緯
2024年3月22日にセキュリティ調査を実施していたところ、サーバーのアクセス権限の誤設定を発見。
直ちに設定を修正し調査を続けたところ、是正前の上記期間にファイルがダウンロードされたことを確認
チェックリストにある要求ルール:
二次被害の有無及びその内容
引き続き調査中。現時点は二次被害は未確認
現在の状況
適切なアクセス権限設定修正し外部からの閲覧はできない状況
情報が漏えいした事業者に個別に連絡中
■ 推奨対策
対策:
再発防止策
・従業員教育を徹底
・継続的にサーバーの設定状況を監視する仕組みを構築
具体例:
タグ
ご入会のお手続きはこちら
会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。
