LCNC-SEC-03: データ漏洩と予期せぬ事態
リスク評価 *
3
2
3
3
要旨
ローコード/ノーコードアプリケーションは基盤となるサービスから合法的にデータにアクセスしますが、予期されていないまたは承認されていないアクションに対してそれらのバックエンドシステムへの導管として機能することもあります。 これにはアプリケーションやセキュリティの境界を越えたデータ漏洩、データに対する作成、読み取り、更新、削除操作のトリガー、偶発的もしくは悪意のあるデータ流出など、意図しない負の副作用が含まれます。
ビジネスユーザーへの説明
データ漏洩はデータが組織の管轄外に移動し、意図しない場所や適切でない場所に行きついた際に発生し、予期しない結果を招く可能性があります。
説明
ローコード/ノーコード開発は多くの場合、データにアクセスしたり、基盤となるサービスに対して操作を実行します。 データオペレータとして、ローコード/ノーコードアプリケーションは指定されたストレージの外や組織の境界の外にデータを移動することで簡単にデータ漏洩を引き起こす可能性があります。
場合によっては、ローコード/ノーコード開発を使用して複数のシステム間でデータを同期したり、あるシステムの変更によって別のシステムでの操作をトリガーできます。 操作のトリガーとして、これらのリソースはあるシステム内での操作と別のシステムの変更を暗黙のうちに結び付けることで、予期せぬ事態を招く可能性があります。 さらに、複数のアプリケーションが一つのデータソースに接続してトリガーできるため、データの移動や操作のトリガーが連鎖的に発生し、予測することも完全なマッピングも困難になります。
攻撃シナリオの例
シナリオ #1
ある開発者はローコード/ノーコードを使用して構築されたあるアプリケーションに企業のデータベースへのアクセスを許可しました。 このアプリケーションは他のユーザーと共有され、承認やアクセス要求のプロセスを経ることなく、データベースへの暗黙的なアクセスを許可します。
シナリオ #2
ある開発者は会社のメールボックスに電子メールが届くたびにトリガーするオートメーションを設定しました。 そのオートメーションは会社のメールボックスで受信したオリジナルの電子メールから受信者、件名、本文をコピーして、開発者個人の電子メールアカウントに新しい電子メールを送信します。 会社のメールボックスから転送される電子メールではなく別のメールボックスにデータがコピーされるため、このオートメーションは DLP コントロールをバイパスします。
シナリオ #3
開発者は二つの SharePoint サイト間で変更を同期するオートメーションを構築し、サイト A 上のすべての新しいファイルがサイト B にコピーされるようにしました。 ビジネスユーザーは機密文書を誤ってサイト A に書き込んでしまいましたが、それがサイト B に複製されることを知りませんでした。 ビジネスユーザーがサイト A からその文書を削除しても、その文書はまだサイト B 上に存在しています。
攻撃と悪用のシナリオの例 - ビジネスユーザー
シナリオ #1
ある開発者は特定の単語を含む電子メールを個人の電子メールアカウントにコピーするプロセスを構築しました。そのコンテンツと添付ファイルはすべて企業の管轄外にあり、データが侵害されたり不適切に使用されるリスクが生じています。
シナリオ #2
あるユーザーは SharePoint サイトのデータをネットワークドライブに自動的に保存するプロセスを作成しました。ファイルを SharePoint にロードした後、ユーザーはコンテンツが機密であることに気づき、SharePoint から削除しました。ファイルがネットワークドライブにコピーされたことに気づかず、その結果、機密データが利用可能なままになっています。
防止方法
コネクタを承認済みサービスリストに制限する。
カスタムコネクタの作成を専任の担当者に制限する。
マルチホップパスなど、組織の境界外のデータフローについてプラットフォームを監視する。
参考資料
Last updated