シャドーITの最悪の事例が・・・
ITmediaの記事に、 岡山大病院の医師がフィッシング被害に 私用クラウド奪われ患者269人分の個人情報が流出か てのがありました。
岡山大学病院は8月4日、同病院の医師一人がフィッシング被害に遭い、医師の個人用クラウドに保存していた患者269人分の個人情報が攻撃者から閲覧できる状態になったと発表したそうです。
記事によると・・・
攻撃が明らかになったのは7月23日。フィッシング詐欺によりクラウドサービスのIDとパスワードを奪われ、クラウド上のデータにアクセスできなくなった。「本人確認がすでにできない状態のため、クラウドサーバの利用停止はいまだにできていない」(同病院)という。
「発表が遅れたのは、情報が流出した患者への説明と謝罪を優先したため」(同病院)とし、8月2日から順次対応を進めていると説明。「現在、院内の他医師らのクラウドの利用状況などの調査と、該当医師の処分を進めている」とした。
だそうです。この手の従業員などが社内で利用を許可していないクラウドサービスなどを勝手に利用している行為を「シャドーIT」と呼んでいますが、その最悪の事例が出てしまいました。
大学病院という高度に個人的な情報を多く扱うところでのシャドーITによる情報漏えいは、信用低下はもちろんのこと、訴訟レベルにまで発展しかねない事例です。
当然ながら、大学から貸与しているPCに関しては、企業の情報システム部門と同様にシャドーITは禁止しているはずですし、勝手なクラウドストレージのクライアントのインストールなども禁じているはずです。ただ、クラウドストレージついては皆様も御存知の通り、ブラウザベースでの運用も可能なため、一概にクライアントソフトのインストールの有無だけでは判断が付きません。
また、勝手BYODによる持ち込みPCやスマホなどによるものであれば、それを検知するのもかなり難しいことも事実です。
ただ、少なくとも情報システム部門で、CASB などによるクラウドの監視などの対策などは出来たはずで、それを行っていなかったのは、対策の不備と言われてもしょうがないでしょう。
今回の事例に限らず、中小企業などではBYODも含めシャドーITが黙認されているような状況も多々見受けられますが、黙認したまま対策を怠っていると今回のような事例に発展しかねないことを、情報システム部門だけでなく経営層も理解しておくべきです。