情報漏えいの対策は万全でしょうか?情報漏えいを起こすと、自社のみならず顧客や取引先へ重大な影響を及ぼします。場合によっては、事業が継続できない事態に発展することもある大きなインシデントです。本記事では情報漏えいの原因や対策、事例を紹介します。自社を情報漏えいから守るために、活用してください。
情報漏えいとは?
情報漏えいとは、企業や組織が保有する個人情報や機密情報が、意図せず第三者に漏れる事象です。情報漏えいは、その組織の信用を失墜させるだけでなく、金銭的な損失や法的な罰則を招く恐れがあります。
情報漏えいには大きく分けて以下の2つがあります。
- 顧客情報や営業情報、技術情報といった機密情報の漏えい
- 住所や氏名、クレジット情報といった個人情報の漏えい
機密情報とは、設計書や特許技術など技術にかかわる情報、さらに経営に関する情報などを指します。
個人情報は、顧客や従業員の氏名や住所、口座番号やマイナンバーなど個人の特定できる情報です。
いずれの情報漏えいも企業にとって大きなダメージとなりますが、これらの情報の漏えいでは、ランサムウェアによる被害が最も脅威です。
参考:IPAホームページ 情報セキュリティ10大脅威 2023
被害が急増しているランサムウェアを見ると、以下のような重大な影響があります。
- 暗号化解除の身代金要求
- 個人情報漏えいをしないための身代金要求
- ダークWebでの個人情報の売却による拡散
- 売却された個人情報の更なる悪用
情報漏えいは、企業にとって重大なリスクであり、その対策は必要不可欠です。適切な対策を講じて、情報漏えいのリスクを最小限に抑え、企業の信用を守っていかなければなりません。
詳細な説明は以下のリンクを参照してください。
企業における情報漏えいの原因や効果的な対策とは?実際に起きた事例も紹介
情報漏えいのリスクと影響
情報漏えいは企業にとって重大なリスクを伴います。事業継続が困難になる場合もあるでしょう。ここでは、情報漏えいが引き起こす具体的なリスクとその影響について説明します。
金銭被害
情報漏えいが発生すると、企業は多大な金銭的損失を被る可能性があります。
| 内容 | 説明 |
| 漏えいした情報による被害の弁済 | 顧客のクレジット情報や口座情報が漏えいし、不正利用された場合の被害負担 |
| 情報漏えいに伴う訴訟費用や罰金 | 被害者から損害賠償請求による裁判費用や損害賠償 場合によっては、被害者全員への補償金 |
| システム復旧や改善にかかる費用 |
既存システム復旧、情報漏えい対策費用 |
このように、情報漏えいは企業に大きな金銭被害を及ぼすことになります。
社会的信用の失墜
情報漏えいは、企業の社会的信用を大きく損なう事案です。
顧客や取引先からの信頼を失いビジネスチャンスを逃すだけでなく、既存の取引関係にも悪影響を及ぼす可能性があります。また、情報漏えいのニュースは瞬く間に広まり、企業のブランドイメージが大きく傷つくでしょう。これにより、新規顧客の獲得が難しくなり、既存顧客の離反も招く恐れがあります。
情報漏えいにより一定期間入札に参加できないといったペナルティを課される場合もあります。
1度失墜した信用を取り戻すのは容易ではありません。長い期間と労力が必要になります。このような事態が発生しない仕組みづくりが重要です。
業務効率の低下
情報漏えいは、企業の業務効率を低下させる場合があります。
漏えいした情報の回収や、被害の拡大を防ぐための対応に多くのリソースが割かれるため、通常の業務が滞ります。
例えば、システムの復旧作業やセキュリティ対策の強化に時間と労力を割かれ、本来の業務の妨げになる場合です。その他、情報漏えいによる問い合わせや苦情が殺到し、業務が妨げられる場合もあるでしょう。
また、情報漏えいにより、社員の士気が低下し、生産性が落ちることも考えられます。
二次被害
情報漏えいは、一次被害だけでなく二次被害を引き起こす可能性があります。二次被害とは、漏えいした情報が第三者に渡り、さらなる不正利用や詐欺行為に悪用されるケースです。
例えば、漏えいしたユーザーIDやパスワード、クレジット情報がダークWebで販売され、第三者によって不正利用されるなどがこれにあたります。また、漏えいした情報を回収すると偽り、被害者が更なる架空請求詐欺の被害にあう可能性もあります。
これにより、被害が拡大し、企業だけでなく顧客や取引先にも多大な影響を及ぼすでしょう。
このように、情報漏えいが原因で発生したトラブルが、二次被害を発生させ問題が長期化し、企業の経営に深刻なダメージを与える場合もあります。
情報漏えい事故が発生する原因
情報漏えい事故が発生する原因は多岐にわたります。これらの原因を理解し適切な対策が必要です。ここでは、外部要因、内部要因、人的要因の3つに分けて詳しく解説します。
外部要因
外部要因としては、サイバー攻撃が挙げられます。
フィッシングメールや、水飲み場攻撃、不正なWebサイト閲覧によるマルウェア感染や、脆弱性をついた外部からの侵入といったサイバー攻撃が後を絶ちません。近年ではVPN装置の脆弱性を狙ったランサムウェアによる情報漏えい事件が急増しています。
サイバー攻撃が発生する主な原因は以下の通りです。
- OSやソフトウェア、VPNなどにパッチを適用しておらず、脆弱性が残っている
- ネットワークの監視やログの分析といった外部からの攻撃を検知する体制が整っていない
- 社員のセキュリティ意識が低い
このように弱点が残ったままでは、サイバー攻撃の標的にされ、情報漏えいを起こす可能性が高まります。
内部要因
内部要因としては、社員による内部犯行が挙げられます。
これは、大きく分けて2つのケースです。
- 社員による個人情報の持ち出し
- 退職した社員からの機密情報の漏えい
いずれの場合も、金銭を目的として意図的に行われるケースが大半です。また、不満を持った社員が意図的に情報を漏えいする場合もあります。
原因としては、機密情報の管理が甘く誰でも閲覧可能であったり、機密情報へのアクセス権が適切でなく、誰でもアクセス可能であったりする場合があります。
ただし、正規の権限を持った社員による意図的な情報漏えいを防止することは困難です。そのため、内部要因が発生しない仕組みづくりが重要です。
人的要因
人的要因としては、従業員の不注意による情報漏えいが挙げられます。
ミスが全くない人はいません。誤りにより情報が漏れてしまうケースがあります。
よくある事象は、以下の通りです。
- 機密情報を含んだメールを誤って外部に送信してしまう
- 機密情報が格納された端末やUSBを紛失する
- 限定された公開先とするはずが、誤って全てに公開してしまう
- フィッシングメールに騙され、誤って個人情報を提供してしまう
原因としては、ほとんどが「ミス」とです。「ミス」が生じても、情報漏えいを起こさない仕組みの構築が必要です。
個人情報漏えいの事例
個人情報漏えいは、企業にとって重大なリスクです。ここでは、外部要因、内部要因、人的要因の3つの観点から具体的な事例を紹介します。
外部要因の事例
2024年、エンタメ企業がランサムウェア攻撃を受け25万件を超える氏名、住所、メールアドレスや学歴といった個人情報が漏えいしました。
原因としてはフィッシングメールにより、社員のアカウント情報が盗み出され、そのアカウントを利用して侵入したものと推測されています。
社内ネットワークに侵入後は、大量の個人情報を探索した後に個人情報を窃取、およびランサムウェアによる暗号化が行われ、巨額の身代金が複数にわたり要求されています。
この事件により、顧客へ提供していたサービスの停止や終了、社内システム停止による取引先への支払い遅延といった大きな影響が発生しました。これにより、巨額の補償や復旧費用の負担、および本来得るはずであった収入の損失が伝えられています。
ただし、外部のクラウドサービスに移行していたクレジット情報や、業務データは情報の漏えいを免れています。適切なデータの配置が、情報漏えいを防止した例ともいえるでしょう。
内部要因の事例
2019年、リース満了により返却したサーバのHDDが不正に転売され、大量の個人情報漏えい事件が発生しました。
この事件は、リース会社が返却されたサーバのHDD完全破壊を専門業者に委託し、その委託先の社員が金銭目的でHDDを持ち出し、ネットオークションで転売。落札者がデータ復元ツールを用いたところ、個人情報データが復元したため発覚しました。
なお、全てのHDDは回収できておらず個人情報が漏えいした件数は把握できていません。
この事件は、意図的な内部犯行がいかに深刻な結果を招いたかを示しています。特に、個人情報の管理においては、厳密な管理体制と監視が不可欠です。リース会社や委託業者の管理体制の甘さが露呈したこの事件は、今後の情報セキュリティ対策を見直す大きな契機となりました。
人的要因の事例
2022年、46万件もの個人情報を格納したUSBメモリが紛失する個人情報漏えい事件が発生しました。
この事件は、個人情報を受託していた企業が委託元の了承を得ずに業務を再委託、その再委託先の協力会社社員が、個人情報を格納したUSBを運搬中に紛失したために発生しました。
この事件では、以下の問題点が指摘されています。
- USBという紛失しやすい媒体に個人情報を格納していた事実
- 個人情報を委託元の了承なく持ち出した事実
- 個人情報運搬中に寄り道をしていた事実
- 委託元の了承なく再委託していた事実
幸いにも、個人情報が漏えいする前にUSBが無事発見されたため、回収不能となる事態は避けられました。
なお、USBには暗号化とパスワードが設定されていましたが、USBのような媒体は物理的にロックできないため、何度でもパスワード解読や復号を試みることが可能です。近年の技術進化により、いつかは解読される恐れがあります。
この事件も、管理体制の甘さやセキュリティに対する意識の欠如が原因です。厳密な管理体制、適正なルールの遵守、それを支えるシステムといった総合的な対策が求められる事案です。
情報漏えいの有効な対策
情報漏えいは企業にとって重大なリスクです。上述した外部要因、内部要因、人的要因に対して情報漏えいを起こさない対策が必要不可欠になります。ここでは、情報漏えいを防ぐための有効な対策について解説します。
情報資産の整理
情報資産の整理は、情報漏えい対策の基本です。
まず、企業が保有する情報資産をリストアップし、重要度や機密性に応じて分類します。顧客情報や取引先情報は高い機密性を持つため、厳重な管理が必要です。
場合によっては、信用のあるクラウドサービスを利用し、アクセスできる拠点や端末を限定する方法も有効な手段です。また、不要な情報は漏えいのリスクをなくすため、速やかに削除しましょう。
これにより、情報の管理が容易になり、情報漏えいのリスクを低減できます。
脆弱性の対策
システムの脆弱性を放置すると、サイバー攻撃の危険性が高まります。
OSやソフトウェア、ウイルス対策ソフトは常に最新の状態にしておきましょう。また、ルータやファイアウォール、VPNなどの機器も最新の状態に保つことが重要です。
資産管理ソフトを使って、パッチ(修正プログラム)の適用状況を確認し、一括で適用するのもよいでしょう。
ただし、パッチを適用するとシステムに不具合が出ることがあります。パッチが出たらすぐに検証して不具合が発生しないか確認しましょう。不具合によりパッチを適用できない場合は、ファイアウォールやIDS/IPSといった不正侵入検知システムを使って攻撃されないように対策をしましょう。
その場合でも、不具合を解消できたら速やかなパッチ適用が望まれます。
機器のアップデートは一時的にサービスを止めることがありますが、弱点をそのままにしておくと情報漏えいの危険性が高まります。関係者と調整して、できるだけ早くアップデートしましょう。
サイバー攻撃への対策
現代のサイバー攻撃は、ウイルス対策ソフトだけで守り切るのは困難なため、多層的な防御が必要になります。
多層的な防御としては以下の対策が有効です。
- ファイアウォールによる通信のフィルタリング
- IDS/IPSなどの不正侵入防止対策
- サニタイズ(無害化)装置によるメールやダウンロードデータの無害化
- サンドボックス装置によるメールやダウンロードデータの挙動確認
- ウイルス対策ソフトによるマルウェア検知
- EDRによる感染を前提とした端末の挙動監視
- SIEMのネットワーク監視による情報漏えいの検知
これらの製品にはお互いが連携できるものが多くあります。連携することでより強固なセキュリティを構築できるでしょう。
ただし、これらの仕組みを導入するだけでは意味がありません。それぞれの運用方法を確立し、適切に運用していきましょう。
適切なアクセス権限の設定
情報へのアクセス権限を適切に設定することは、情報漏えい防止の基本です。
まず、各社員の役割に応じてアクセス権限を付与し、必要最低限の情報にのみアクセスできるように設定します。
例えば、経理部門の社員には財務情報のみのアクセス権限を与え、他の部門の情報にはアクセスできないような設定です。
また、人事異動や退職による異動情報をすみやかに反映させる必要があります。特に退職については、適切なタイミングでアクセス権を削除しなければ情報漏えいにつながりかねません。
入社や退職といったイベントごとの見直しは必ず行いましょう。
これにより、内部からの情報漏えいリスクを低減できます。
適切な認証方法の導入
現代のサイバー攻撃は、パスワードだけのセキュリティ対策では不十分です。フィッシングメールやソーシャルエンジニアリング、ダークウェブからのパスワード購入などにより突破される恐れがあります。
その対策として、生体認証(指紋認証や顔認証)、ワンタイムパスワードといった複数の認証を利用する、多要素認証が有効です。これは本人しか持ちえない生体認証やスマートフォンを利用するため、外部からの不正アクセスに対して効果があります。
また、パスキーといった新たな認証方式の利用も有効な対策となるでしょう。パスキーについては、まだ対応しているサービスが少ないですが、今後増加が見込まれます。
これらの技術を導入し、外部からの不正アクセスを防止しましょう。
適切な資産管理
情報資産の適切な管理は、情報漏えい防止に直結します。
まず、情報資産の所在を明確にし、続いて情報資産の廃棄に関するルールを定めます。古い端末やハードディスクを廃棄する際には、データを完全に消去するか、物理的に破壊しましょう。また、不要になった情報も速やかな削除が必要です。
また、資産管理ソフトウェアの導入や、USBロック、DVD-ROMの無効化といった対策も有効です。データを物理的に移動させる事態が生じた場合は、媒体の暗号化、パスワードロック、施錠できるアタッシュケースを準備し、移動先に直行するなどの対策が必要です。
データの移動にはリスクが伴います。複数人でチェックし、内部要因、人的要因による情報漏えいを防止しましょう。
情報の暗号化
情報の暗号化は、直接的な情報漏えいを防ぐものではありません。しかし、漏えいした情報が不正に利用されないようにするための重要な手段です。
古い暗号化方式は脆弱性があることが多く、解読されるリスクが高まります。そのため、最新で強力な暗号化方式を使用することが重要です。
また、取引先と秘密鍵を共有する方法も有効です。この方法では、自社と取引先だけが鍵を持つため、漏えいしても情報を解読される心配がありません。
さらに、通信自体の暗号化も効果的です。VPN装置やAESなどの強力な暗号化技術を利用すれば、盗聴されても情報漏えいを防ぐことができるでしょう。
このように、情報が漏えいしても解読されない仕組みを導入し、情報をしっかりと保護しましょう。
社員への教育
社員一人ひとりのセキュリティ意識を高めることは、情報漏えい防止に欠かせません。
定期的なセキュリティ教育を実施し、情報漏えいのリスクや対策についての理解を深めます。例えば、フィッシングメールの見分け方や、安全なパスワードの設定方法などを教育し、社員のセキュリティ意識を向上させます。
また、フィッシングメールやソーシャルエンジニアリングといったサイバー攻撃に対する演習も効果的です。セキュリティ意識の低い社員は情報漏えいの引き金になりかねません。適切な教育の継続が重要です。
定期的な監査
適切な脆弱性対策やサイバー攻撃への対策を行っていても、完璧な防御は存在しません。
脆弱性は日々新たに発見されるため、対策を継続する必要があります。しかし、サイバー攻撃も日々進化しており、自社だけで対策を続けるのは困難です。
そこで、専門家による定期的な監査が有効です。専門家による脆弱性診断や内部監査を定期的に実施し、現状に不備がないか客観的に評価してもらうことで、有効なリスク対策ができます。
定期的な監査には費用がかかりますが、情報漏えいによる損害を考えると、必要な投資といえるでしょう。
このように、定期的な監査は客観的な評価を提供し、迅速かつ効果的な対策を講じるために重要です。
個人情報漏えいは報告義務が必要
2022年の個人情報保護法改正により、以下の漏えいが確認された場合には個人情報保護委員会への報告と、本人への通知が義務化されました。
報告が必要な漏えいは以下の通りです。
- 要配慮個人情報の漏えい
- 財産的被害の恐れがある漏えい
- 不正の目的による恐れがある漏えい
- 1,000人を超える漏えい
要配慮個人情報は以下のリンクを参照してください。
出典:個人情報保護委員会ホームページ
また、報告は1度ではなく情報漏えいを認知してから速やかに報告する「速報」と、事態が確定した後に報告する「確報」を行わなければなりません。
報告義務を怠った場合は、刑事罰(1年以下の懲役又は50万円以下の罰金)や最大1億円もの罰金刑が課される恐れがあります。
このような事態にならないように、情報漏えいを防止していきましょう。
総合的な脆弱性診断にはSCT SECUREセキュリティ診断を
脆弱性やサイバー攻撃は日々増加しています。これに対応するためには、専門家によるセキュリティ診断が有効です。
三和コムテックの「SCT SECURE セキュリティ診断」では、プラットフォーム診断やWebアプリケーション診断に加え、各種ペネトレーション診断を定期的に実施できます。診断結果は、脆弱性の情報から対策方法やソリューションまでを分かりやすく報告します。
さらに、サイバー攻撃に対応するため、毎日診断可能な「SCT SECURE クラウドスキャン」、内部ネットワークの脆弱性を診断する「SCT SECURE インターナルスキャン」といったサービスも提供可能です。
この機会に、ぜひお問い合わせください。
まとめ
情報漏えいは、企業に大きなダメージを与え、場合によっては事業が継続できない恐れがあります。情報漏えいの原因を正しく把握し、適切な対策を取ることで、情報漏えいのリスクを大幅に低減できます。
対策は、システムやソリューションといった仕組みや、社員への教育など多岐にわたり、一朝一夕で対応できるものではありません。また、情報漏えい対策は1度実施すれば終わりではなく、継続的な取り組みが求められます。
定期的な監査や社員への教育を通じて、常に最新のセキュリティ対策を講じることが重要です。このように、情報漏えいのリスクを最小限に抑え、自社の情報を守っていきましょう。
