個人情報保護委員会は15日、クラウド基盤のサービスとソフトウェア開発の協業ツールを使用する事業者に対し、保護措置を履行するよう勧告した。
個人情報保護委は、ソースコードにアクセスキー、パスワード、API(アプリケーション・プログラミング・インターフェース)などの認証情報が保存・露出されないよう管理し、長期の認証情報の代わりに自動で期限切れとなる一時認証情報を使用するよう求めた。
また、認証情報を使用できるIPアドレスやネットワーク区間などを制限し、データベースやクラウド管理コンソールなど主要システムについては多要素認証を適用し、最小権限の原則に基づくアクセス権限のみ付与するよう要請した。
個人情報保護委は「ギットハブ(GitHub)などの開発協業ツールに保存されたソースコードで認証情報が露出する事例が確認されている」とし、「ソースコードに認証情報を保存すると、これを悪用して個人情報処理システムにアクセスできる」と強調した。
ギットハブはマイクロソフト(MS)が運営するコーディング協業プラットフォームである。
※ 本記事はAIで翻訳されています。ご意見はこちらのフォームから送信してください。