SS1製品サイト情報漏洩の原因とは?リスクと防ぐための対策方法も詳しく解説
2023年、国内における情報漏洩事故の発生件数が過去最多を更新しました。
【参考】2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分(株式会社東京商工リサーチ)
しかし、情報漏洩事件の増加は2023年に限った話ではありません。直近3年間は毎年過去最多を更新しており、企業を取り巻く情報漏洩のリスクは年々急増しているのです。
本記事では、組織の情報セキュリティご担当者に向けて、情報漏洩の原因と対策方法について詳しく解説していきます。
本文中の内容と自社の環境を照らし合わせながら、急増する情報漏洩リスクへの対応方法を検討してみてください。
情報漏洩とは
情報漏洩とは、組織で保有している個人情報や機密情報といった重要な情報が、何らかの原因で組織外に流出してしまう状況を指します。
PCやタブレット、スマートフォンといったデバイスが普及し、重要情報のオンラインデータ化が進むのに伴って、組織を取り巻く情報漏洩の危険は年々高まっています。
情報漏洩の対象となるのは、「組織が保有している全ての情報」であり、例外はありません。ただし、漏洩した際に組織へ与えるダメージの大きさなどから、保有している情報の中でも重要度を区別していることが一般的です。
漏洩時のダメージが大きな情報としては、「個人情報」と「営業秘密」が挙げられます。
・個人情報
生存する個人に関する情報であり、氏名、生年月日、住所、顔写真など、特定の個人を識別できる情報をいいます。
・営業秘密
営業秘密は、次の3要件に当てはまるものを指します。
・有用性:事業活動に利用され、実際に役立っていること。
・非公知性:一般的には知られていないこと。
(不正競争防止法より)
一般的に「情報漏洩」としてニュースになるのは、主に上記2つの情報に関連する事件です。
これらの情報が漏洩した場合には、組織としてのイメージ失墜や損害賠償対応といった大きなデメリットを被ることになります。
情報漏洩の原因
重要情報が漏洩する場合、主な原因として挙げられる項目は以下の通りです。
ウイルス感染
コンピュータウイルスには数多くの種類がありますが、なかには組織の重要情報の窃取をおこなえる機能を持ったものが存在します。
よく聞かれるのは「ランサムウェア」や「キーロガー」などのウイルスです。
ウイルスによる情報漏洩は、端末に保存されている情報が外部の特定サイトに送信されて生じる場合と、インターネット上に広く公開されて生じる場合とに大きく分類されます。
特定のサイトに送信された場合、攻撃者による身代金要求などに発展する危険があります。一方、インターネット上に公開された場合はさらなる二次被害が懸念され、さらにその情報の完全な削除が困難になるケースがほとんどです。
いずれにしても、組織へのダメージは計り知れません。
以前のウイルスは、USBメモリなどの記憶媒体を介して感染するタイプが一般的でした。しかし昨今では、メールやWebサイトなどを経由して感染するウイルスも登場しており、その感染経路や種類は日々増加し続けています。
不正アクセス
不正アクセスとは、本来アクセス権限を持たないユーザーがサーバや情報システム内部に侵入する行為を意味します。
不正アクセスの多くは、悪意のある第三者によっておこなわれたサイバー攻撃の結果として生じるものです。前述のウイルス感染などとあわせて、重要情報の窃取を目的として実行されるケースが多くなっています。
冒頭でご紹介した東京商工リサーチ社の調査によると、不正アクセスは情報漏洩の原因としてもっとも多くの割合を占めていることもあり、年々問題が深刻化している様子がうかがえます。
メールの誤送信
メール誤送信といったいわゆる「うっかりミス」は、不正アクセスに次ぐ情報漏洩の大きな原因の一つです。
特定の顧客へ送るはずだったメールを別の人物へ送信してしまう、BCCとCCを間違ってしまうなど、人為的なミスは例年相次いでいます。
2024年2月には、厚生労働省職員による675人分の個人情報の漏洩が発生しました。
緊急連絡先として私用メールアドレスを利用していた1人の職員が、一部のアドレスを誤入力して登録簿に記載していたため、2023年9月以降まったく別の人にあてて同省の緊急連絡メールが送信され続けていたというものです。
悪意のないミスとはいえ、漏洩してしまえば重大事件へ発展する危険があります。
現在ではさまざまな誤送信防止ツールや方法論が一般に公開・販売されているものの、いまだにこういった事態が後を絶たないのが現状のようです。
公開範囲の設定ミス
メール誤送信と同様の人為的ミスによる情報漏洩の原因としては、重要情報の公開範囲設定ミスが挙げられます。
例えば、個人情報が記載されたファイルを誤ってWebサイト上に掲載してしまったり、重要データを共有フォルダに誤って格納してしまったりというものが代表的です。
ちなみに、最近ではクラウドサービス経由でファイルのやり取りをすることが増えてきていますが、そういったファイルの公開設定を誤ることによって、重要情報が意図せず一般公開されてしまっていたというインシデントも急増しています。
特にクラウドサービス経由での情報漏洩に関しては、システム管理者側の環境設定のミスが原因であることも多いため、いま一度利用しているサービスの設定を見直してみることをおすすめします。
SSPM(SaaS Security Posture Management)といった、SaaSアプリケーションのセキュリティ設定状態を監視できるツールも登場していますので、心配であればこういったものの導入も検討するとよいでしょう。
データの紛失・盗難
重要データが記載された記憶媒体や紙の書類、パソコンなどの端末を紛失することによる情報漏洩事例もあります。
昨今ではテレワークなどで社外に情報を持ち出す機会が増えたことから、USBメモリや社用パソコンをカバンごと置き忘れ、盗まれてしまうといったインシデントもよく聞かれるようになりました。
また、業務で使用したUSBメモリやPCなどの情報資産について、適切な廃棄手順を踏んでおらず、端末に内蔵されているハードディスクなどから情報を盗まれてしまったケースも存在しています。
こうした物理的な情報漏洩についても、原因としてしっかり把握し、対策を検討する必要があります。
内部不正
重要情報は、組織と関連のない第三者だけでなく、内部の人間からも狙われる危険があります。
企業スパイによる営業データの窃取、退職予定者による技術ノウハウの持ち出し、転売目的での個人情報流出など、動機や持ち出されるデータの種類はさまざまです。
意図的に不正がおこなわれる場合もあれば、ルールを知らずに悪意なく持ち出してしまうケースも存在しています。
クラウドサービスの普及やテレワークによる業務実態の不透明化もあり、内部不正の機会やリスクは増加し続けています。重要情報の取り扱いルールの策定・周知や、技術的な持ち出し制限など、組織として対策の強化が急がれるところです。
ソーシャルエンジニアリング
ウイルスなどを用いず、重要情報を盗み出す手法として「ソーシャルエンジニアリング」があります。
多くは人間の心理的な隙や行動につけ込むもので、「電話でパスワードを聞き出す」「肩越しに重要情報を盗み見る(ショルダーハッキング)」「ゴミ箱を漁る(トラッシング)」などといった行為が該当します。
単純にパスワードなどを窃取して不正アクセスにつなげるケースもありますが、最近では特定組織を狙った標的型攻撃メールにおいて、あえて業務上の関係者しか知りえない情報を入れ込む場合などにソーシャルエンジニアリングが用いられる事例も報告されているようです。
情報漏洩が原因で起こりうる問題
重要情報の漏洩は、組織にさまざまな悪影響を及ぼします。
罰金・賠償金の支払い
重要情報が漏洩した場合、罰金や賠償金支払いの対象となる恐れがあります。
例えば、2022年4月に施行された改正個人情報保護法では、個人情報の漏洩や不適切な利用に対して、下記のような罰則強化がおこなわれています。
【参考】個人情報保護法 令和2年改正及び令和3年改正について P.13「5.ペナルティの在り方」
・報告義務違反:50万円以下の罰金
・法人による措置命令違反:1億円以下の罰金
・法人による個人情報データベース等の不正流用:1億円以下の罰金
ここで重要なのは、情報漏洩の行為者だけでなく、情報漏洩を発生させた法人に対する罰則も存在するという点です。
そのほかにも、個人情報を漏洩された被害者から損害賠償を求められ、実際に裁判で賠償責任が認められた事例もあります。
【参考】顧客情報流出、ベネッセに賠償命令 3300人に計1100万円―東京地裁
信頼の低下
情報漏洩の事実が世間に広く知られた場合、組織のイメージに大きな傷がついてしまいます。
顧客が離れていくだけでなく、株価の急落、取引先との契約解除など、信用失墜による影響は非常に多岐にわたるでしょう。
また、組織の環境が急激に悪い方向へ転換することによって、従業員のモチベーションが下がり、結果的に生産性の低下や離職率の急増につながりかねません。
失った信頼をすぐに取り戻すことは難しいため、一度の事件で多くのことを失い、その後の組織運営まで危ぶまれてしまう可能性があります。
対応工数の発生
情報漏洩事件の対処にあたっては、上述のような金銭的なコストの発生とともに、膨大な人的コストが発生します。
ある調査では、サイバー攻撃による個人情報漏洩事件において、攻撃発覚からそれを公表するまでに要する期間は平均77日であるという結果も出ています。(うち上場企業の平均は37日、非上場企業の平均は111日)
【参考】サイバー攻撃の発生から発覚・公表までの日数に関する調査レポート(株式会社サイバーセキュリティクラウド)
これはあくまでも発覚から公表までの日数であり、それから先にも情報漏洩の対処は長く続くと推測されるため、実際に対応にかかる期間・工数は未知数です。
こういった対応は、もちろんすべて本来の業務を止めた状態で対応しなければなりません。そうなると、事業継続が困難な状況になるだけでなく、従業員の疲弊も招いてしまうでしょう。
情報漏洩が発生した場合、ダメージを受けるのは組織だけではないのです。
二次被害の発生
漏洩した情報の種類によっては、二次被害が発生する可能性もあります。
例えば、クレジットカード情報や電話番号情報などが流出した場合において、カードの不正利用やセールス電話、架空請求といった二次被害の発生が過去に報告されています。
ちなみに個人情報が漏洩した際、二次被害の有無やその内容については、一部の例外を除いて個人情報委員会への報告と被漏洩者に対する通知が求められています。
2022年の改正個人情報保護法によって、それまでは「速やかに報告するよう努める」という内容だったものが義務化されるようになりました。
当然、こういった報告・通知作業にも人的コストがかかりますし、二次被害を阻止するための対策を検討し実行する必要もあります。
情報漏洩を防ぐための対策
こういった問題を避けるために、組織のセキュリティ担当者は情報漏洩を防ぐための仕組みや対策を検討しなければなりません。
ただし、「全ての情報漏洩に対するリスクを完璧に網羅することは実質不可能である」という点は念頭に置いておきましょう。もちろん漏洩防止策も重要ですが、それと同じくらい情報漏洩の発生を前提に置いた被害拡大防止策についても重視するべきです。
ここでは、情報漏洩を防止するための施策と、漏洩後の被害拡大を防ぐための施策についてそれぞれ解説します。
情報管理に関する規程を定める
まず、情報漏洩の防止と被害拡大の2つの側面で大切なのは、組織における重要情報の管理に関するルールを定めておくことです。
はじめに、組織として「重要情報」とするデータを定義し、それらを取り扱う対象ユーザーの範囲や保管場所を明確化します。
そのうえで、ID/パスワード管理のルールや情報持ち出しのルール、情報を取り扱う端末に関するルールなど、個々のシーンに合わせて細かく規則を決定していきましょう。
また、テレワークやクラウドサービス利用、BYODの導入といった環境の変化に合わせて、都度ルールの改訂をおこなうことも忘れてはいけません。
そして、このルールの中で「実際に漏洩が発覚した場合にどうするのか」といった対応フローを定めておくことも非常に重要です。
例えば情報漏洩が発覚した際、まず誰に報告するのかといった連絡先や主管して対応する責任部門の所在、漏洩をおこなった者に対する罰則規定などを盛り込むといった内容が考えられます。
アクセス権限を定める
重要情報を扱える対象ユーザーをルールで定めた場合は、その内容に沿って各ユーザーにアクセス権限を付与します。
また、一度付与したアクセス権限はそのまま放置するのではなく、組織編成や退職のタイミングなどで必ず見直すようにしましょう。
不必要なユーザーにまで重要情報へのアクセス権限を与えたままになっていると、そこから情報が漏洩してしまうリスクが高まってしまいます。
組織内のファイルサーバーや契約しているクラウドサーバーなど、情報の保管場所が点在している際は特に注意が必要です。アクセス権限を管理するときは、抜け漏れがないよう十分気を付けるようにしましょう。
アクセス権限をおこなうべきアカウントが複数あるようであれば、IDaaSなどのソリューションを活用することで管理を効率化できる場合があります。
従業員への教育を実施する
ルールを決定したら、その内容を従業員へと周知し、教育をおこないましょう。
教育については、入社時/異動時/昇格時といった組織編成の変更タイミングにあわせて実施するほか、1年に1度など定期的におこなうことをおすすめします。
また、その際には一般の従業員とセキュリティ担当者で別カリキュラムを用意するのも有効です。
一般の従業員には、実際の漏洩事例やその被害状況、社内で起きたヒヤリハットなど、具体的なインシデントを交えてルールの共有をおこなうことで、教育効果の向上が期待できます。
一方のセキュリティ担当者には、最新の攻撃手法や関連法案の内容等、より高度な教育をおこなう必要があります。外部のセキュリティ教育サービスの利用も含めて検討するとよいでしょう。
セキュリティソフトを導入する
ルール策定と従業員教育だけでは、ヒューマンエラーや悪意のある情報持ち出しを防ぐことはできません。また、外部攻撃から身を守るための対策も講じる必要があります。
ウイルス感染・不正アクセスへの対策としては、アンチウイルスソフトやログ監視ツールといったセキュリティ関連製品の導入がおすすめです。
製品によっては、外部攻撃を防ぐだけでなく、情報漏洩後の被害範囲特定や、ウイルスの拡大防止などに活用できるものも多数存在します。それぞれの機能を見比べて、必要としている要件を満たすものを探してみるとよいでしょう。
脆弱性対策を実施する
脆弱性とは、OSやソフトウェアなどにおいて発生するセキュリティ上の欠陥のことです。
プログラムの不具合や設計上のミスが主な原因であり、放置しているとウイルス感染や不正アクセスに利用されてしまう恐れがあります。
脆弱性が発見されると、一般的にはソフトウェアの開発元から修正用のプログラムが配布されます。この修正プログラムをきちんと適用することで、脆弱性を塞ぐことが可能です。
このような脆弱性対策は「パッチ適用」と呼ばれ、組織のセキュリティ担当者がおこなうべき基本的な対策の一つになります。パッチ適用管理の重要性や手法については、下記の記事もご参照ください。
【参考】パッチ管理のやり方とは?社内PCを効率よく管理する方法を解説
ちなみに、組織として脆弱性に対応する場合、修正プログラムを適用したことによって他のシステムに不具合が起こることのないよう、適用するパッチの重要度調査や動作検証などが必要になります。
これらの調査・検証には当然工数がかかりますので、複数の脆弱性が同時に発見された際には優先順位をつけて対応することも重要です。
そのようなケースでは、米国政府の支援を受けた非営利団体・MITRE社によって管理されているCVSS(Common Vulnerability Scoring System) や、SSVC (Stakeholder-Specific Vulnerability Categorization)などの脆弱性評価指標を参考にするとよいでしょう。
各脆弱性の危険度が4段階に分けてスコアリングされているため、危険度の高いものからリソースを割くといった調整をおこなえます。
各指標の詳細は、下記の記事でも紹介しています。
【参考】脆弱性の評価指標であるCVSSとSSVCをどう使うか?
データを暗号化する
個人情報保護法のガイドラインでは、個人情報に対する暗号化が求められています。
暗号化とは、情報(平文)を特定の条件下でのみ復元可能な一定の規則によって変換し、一見意味のない文字列や図案(暗号)にしてしまう処理を指します。
この復元可能とする特定の条件は「(暗号)鍵」と呼ばれ、暗号化した情報を取り扱う者たちのみで秘匿しておくことで、第三者からの復元を阻止できる仕組みです。
暗号化をおこなうことで、万一不正アクセスによる情報の窃取があった場合でも、鍵さえ奪われなければ重要情報を守れるというメリットがあります。また、重要情報を持ち出す際に暗号化を義務付けていれば、端末の紛失やメールの誤送信などがあっても情報流出を阻止できる可能性が高まります。
暗号化には、ZIPファイルにパスワードを付与するような個人で実施できる手法もあれば、暗号化ソフトを用いたより高度な手法もありますので、自社にあった運用を検討してみましょう。
まとめ
重要情報が漏洩してしまった場合、組織や働く従業員に甚大なダメージを与えてしまいます。そのような事態を避けるためにも、情報漏洩に関してはしっかり対策するようにしましょう。
ちなみに、情報漏洩対策をおこなう際には、組織内に存在する情報資産の所在を正確に把握していることが絶対条件となります。
守るべき範囲をはっきりさせておかなければ、どのような対策を実施すればよいのか考えることもできないからです。
こうした情報資産の把握には、IT資産管理ツールなどの製品が役立ちます。
加えて、IT資産管理ツールにはログ取得機能や外部記憶媒体の接続制限機能、パッチ管理機能などが搭載されているケースも多いため、まずは基礎的なセキュリティ対策をおこないたいという場合にも有用です。
弊社では、IT資産管理ツールSS1/SS1クラウドの開発・販売をおこなっております。導入をご検討される場合は、下記のサイトも参考までにご覧ください。
●IT資産管理ツール「SS1」についてはこちら
●クラウド型IT資産管理ツール「SS1クラウド」についてはこちら
●SS1/SS1クラウドに関するお問い合わせはこちら
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
