情報漏えいの原因と対策 – 企業に迫る重大リスクへの備え

情報漏えいの原因と対策

はじめに

近年、デジタル化の推進により、企業がクラウドサービス上などで大量のデータを取り扱うようになっています。一方でサイバー攻撃やハッキング技術が高度化しており、企業における情報漏えいのリスクは年々高まっています。この記事では、情報漏えいの原因や実例、対策方法について解説します。原因を知ることで事前に対策をとり、情報漏えいのリスクを回避しましょう。

サイファー・テックでは、Webアプリやモバイルアプリに情報漏えいのリスクがないかをチェックするセキュリティ診断を行っています。

セキュリティ診断サービス・Critical Hit

また、電子マニュアルなどの機密情報の情報漏えい対策にはDRM(デジタル著作権管理)も効果的です。サイファー・テックではファイル形式に合った既製品DRMから、カスタマイズ可能なDRMまでお客様にあったサービスをご提供しています。

DRMについて相談してみる

情報漏えいとは?

情報漏えいとは

情報漏えいとは、企業などが保有する個人情報や経営上の機密事項など、本来は外部に知られてはいけない情報が何らかのアクシデントにより流出することです。

ここでは、実際に発生した情報漏えいが発生した場合の影響や実際の例を紹介します。

情報漏えいの影響

情報漏えいが発生すると、企業にとってさまざまな悪影響が発生します。

  • 信頼の失墜・企業イメージ低下:
    顧客の信用を失い、契約の解除などにより売上を失う恐れがあります。また、企業イメージ低下により、新規顧客の獲得が難しくなる恐れもあるでしょう。
  • 損害賠償が発生:
    取引先から取得した情報や個人情報が漏えいすると、損害賠償が発生する可能性があります。特にクレジットカードなどの金融情報が漏えいすると、損害賠償額が高額になりやすいです。
  • 事故対応などに発生するコスト:
    原因調査や再発防止などの事故対応に人件費がかかるほか、一時的に事業を停止しなければならない場合もあります。また、外部からの問い合わせも増加し、対応コストが発生します。
  • さらなる情報漏えいや二次被害のリスク:
    Webサイトの認証情報が漏えいすると、その認証情報でアクセス可能な範囲にある情報がさらに漏えいする危険性があります。また、サイトを改ざんされフィッシング詐欺に利用されるなどの二次被害が発生するリスクがあります。

情報漏えいインシデントの発生事例

これまで、さまざまな企業や団体で情報漏えいのインシデントが発生してきました。ここでは具体的な事例を4つ紹介します。

  • 事例1:職員が個人情報を不正に持ち出し、刑事事件に発展
    宮城県釜石市で、職員が住民基本台帳等から出力された約3万2千人の住民に係る個人情報を不正に取得する事件が発生。データは自宅のPCで保管されており、外部には漏えいしていませんでしたが、市は職員を刑事告訴しました。データの持ち出しルールが形骸化していたこと、データの閲覧制限がなかったこれまで、さまざまな企業や団体で情報漏えいのインシデントが発生してきました。ここでは具体的な事例を4つ紹介します。ことから、個人情報を容易に持ち出せる状況であったとされています。
    出典:個人情報漏えい調査委員会 調査結果|釜石市公式ホームページ
  • 事例2:職員が不正に取得したデータをインターネット上に公開
    大阪府堺市で、選挙管理委員会事務局の職員が不正に持ち出した選挙関連データを、個人で契約したレンタルサーバーに保管し、インターネットで閲覧可能な状態にしていました。発覚当時、すでにデータは非公開となっていたものの、検索サイトのキャッシュ(検索エンジンがWebサイトを巡回した際に自動保存したデータ)が閲覧できる状態でした。
    出典:市職員による個人情報の流出について|堺市公式ホームページ
  • 事例3:POS端末のマルウェア感染で7,000万人もの個人情報が漏えいした事例
    米小売り大手Target社のPOS端末がマルウェアに感染し、買い物客など7,000万人もの個人情報が流出しました。情報漏えいはオンラインショッピングで起きると思われがちですが、このケースでは実店舗でクレジットカードやデビットカードを使って買い物をした顧客が被害に遭っています。マルウェア感染前に同社サイトへ不正アクセスが発生していたことが判明していますが、その際に使用されたのは同社の取引先から盗まれたアカウント情報だったことが明らかになっています。
    出典:7000万件に及ぶ情報漏えい事件の「その後」、株価復調もCEOの辞任に発展した米Target | IT Leaders
  • 事例4:外部からのウイルスメールによる不正アクセスにより一部個人情報が漏えいした事例
    東京大学大学院で保有するPCが、標的型攻撃メールによりマルウェアに感染し、PC内の情報が漏えいした可能性があると判明しました。漏えいした情報は正確に判明していませんが、教職員や学生の情報、PCを使用していた教員が在籍する学会の会員や学会主催イベントの参加者に関する情報、学生の成績や試験の過去問などが漏えいした可能性があります。
    出典:東京大学大学院総合文化研究科・教養学部への不正アクセスによる情報流出について | 東京大学

情報漏えいの原因:外的要因

情報漏えいの外的要因

情報漏えいにはさまざまな原因がありますが、それらは大きく外的要因と内的要因に分類されます。まずは主な外的要因を5つ紹介します。

ウイルス・マルウェア感染による被害

情報漏えいの外的要因における代表例は、コンピュータウイルスやマルウェアと呼ばれる不正プログラムです。これらの不正プログラムに感染すると、外部にデータを送信されたり不正アクセスに利用されたりします。

また、昨今ではランサムウェアの被害も拡大しています。ランサムウェアは、感染したPCのデータを暗号化して利用できなくしたりデータを外部に送信したりして、暗号化解除や盗み出したデータの消去などを条件に身代金を要求する不正プログラムです。データが盗み出されたケースでは、身代金の支払いに応じず実際にデータが公開されてしまった事例もあります。

これらの不正プログラムに感染したPCから送信されたファイルを不用意に開くと自身のPCが感染し、さらに他のPCへの感染に利用される恐れもあります。

ゼロデイ脆弱性を狙うサイバー攻撃による被害

ネットワーク機器やプログラムには潜在的な脆弱性がしばしば存在します。メーカーは脆弱性を把握すると対応策を講じますが、対策前の脆弱性に対しては無防備です。

このように公表前の脆弱性や修正版が提供されていない脆弱性をゼロデイ脆弱性と呼び、外部からの攻撃に利用されるケースがあります。大規模なプログラムでは潜在的な脆弱性をゼロにすることは不可能であり、常に新しい脆弱性が発見されるため、対応が難しい攻撃方法です。

Nデイ脆弱性を狙うサイバー攻撃による被害

すでに公開され広く知られているものの、対応が間に合っていない脆弱性をNデイ脆弱性と呼びます。Nデイ脆弱性はすでに多くの悪意ある攻撃者に知られているため、ゼロデイ脆弱性よりも攻撃を受けやすく、リスクが高いといえます。

メーカーが修正パッチを公開しても、ユーザーに浸透するまでには時間がかかります。この間を狙って行われるのがNデイ攻撃です。

アップデートの際は既存のシステムとの互換性がネックです。重要なシステムほど対応に時間がかかり、攻撃のリスクを抱えることになります。

サプライチェーンを介した侵入

自社のセキュリティが万全でも、取引先や関連企業が攻撃を受け、そこから自社を標的とした攻撃を受ける可能性があります。現在はさまざまな業務システムがインターネットで接続されているため、取引に必要なデータに不正プログラムを仕込んだり、取引先に付与したアクセス権を利用したりすることで侵入される恐れがあるのです。

また、自社のネットワークを管理・運用している企業や、外部のデータセンターなどが攻撃を受け、自社のネットワークに侵入されたり、保管しているデータが漏えいしたりすることもあります。

標的型メール攻撃による被害

電子メールを利用した攻撃には、不正プログラムが自動送信されるものや一斉送信されるスパムメールなどさまざまなものがあります。なかでも危険なものが標的型メールと呼ばれる攻撃です。

標的型メールは特定の企業・団体をターゲットとするもので、社内メールを装ったり取引先になりすますなどしてメールが送られてきます。事前に社内の組織情報や取引先企業の情報を入手し、実在する担当者やプロジェクト名などをメールに記載するため、見破ることが困難です。

添付されているファイルを開封したり、本文中のURLをクリックしたりすることで、悪意のあるプログラムに感染し、外部に情報が漏えいします。

情報漏えいの原因:内的要因

情報漏えいの内的要因

情報漏えいは外部からの攻撃だけでなく、内部で発生したトラブルや不正によって起きることがあります。ここでは、情報漏えいの主な内的要因を紹介します。

アカウント流出による不正アクセス被害

Webサイトやオンラインサービスのアカウント情報が流出すると、不正アクセスの原因となります。悪意のある攻撃者にアクセスされると、大量の個人情報や機密情報を盗まれる可能性があります。

特に重要な情報にアクセスできる権限やシステム管理者権限を持ったアカウントなど、重要なアカウント情報が流出するほどハイリスクです。また、ID・パスワードを使いまわしていると、複数のシステムで一気に乗っ取りが発生し、より被害が拡大する危険があります。

ヒューマンエラーによる情報流出

郵送物、FAXの送り間違いや取引先へ間違えて他の取引情報を電話してしまうなど、ヒューマンエラーによる情報漏えいは後を絶ちません。現在は電子メールなどのインターネットを用いた方法により、大量の情報を手軽に送れるようになったため、誤送信によるリスクはより大きくなっています。

代表的な例として、宛先のメールアドレスを間違えたまま送信してしまったり、BCCを使用して一斉送信するところをCCにしてしまったりすることで、個人情報が漏えいするといったミスがあります。

アクセス権の設定不備

情報漏えいを防ぐためにはアクセス制限機能を利用することが重要ですが、設定の不備により情報漏えいが発生することがあります。誤って別の人にアクセス権を付与してしまったり、不要になったアクセス権を放置してしまうと本来権限のない人が情報を閲覧できるために不正利用の可能性も高まります。

インターネット上で利用できるクラウドサービスの場合、「リンクを知っている全員」というようなアクセス権限を設定できますが、そのリンクが漏れてしまうとインターネットを通じて外部の第三者も容易に情報へアクセスできてしまうため、利用する際には注意が必要です。

モバイル端末や記録媒体の紛失

機密情報が保存されたノートパソコン、スマホなどのモバイル端末、USBメモリやCDなどの記録媒体を紛失し、それが第三者の手に渡ることによって情報漏えいが発生します。デジタルデータは、大量のデータを保存できるため、紛失するリスクは大きいでしょう。

また、スマホなどに保存している取引先の電話番号やメールアドレスが漏えいすると、取引先からの信用を失うことになります。取引先から預かったデータを紛失すると、損害賠償や契約破棄になる可能性もあるため注意しましょう。

テレワーク・リモートワーク時の情報漏えい

コンピュータに不正にアクセスしなくても、人間の心理的な隙や行動のミスにつけ込むソーシャルエンジニアリングと呼ばれる手法で情報が盗まれることがあります。

例えば、カフェなど第三者のいる空間でテレワークをすると、肩越しに内容を盗まれる危険があります。また、個室を利用していても、Web会議など、音声による通信は外部に聞こえている可能性があるため、注意しましょう。

さらに、ノートパソコンなどを置いて席を離れると、直接情報を盗まれたり不正プログラムを仕込まれるなどのリスクがあります。

内部不正による情報漏えい

社員など関係者の内部不正による情報漏えいも後を絶ちません。

内部不正は、悪意の有無にかかわらず重大なデータに不正アクセスや流出行為を行うことです。

個人情報を盗み出し名簿屋に売ったり、製品の開発情報をライバル企業に持ち込んだりして対価を得るケースもあれば、興味本位で個人情報を盗み見るといったこともあります。

また、悪意がない場合でも、手間を省きたいなどの理由で定められた手順を守らなかったり、持ち出しが禁止されている情報を外に出して情報漏えいが起きる場合もあります。

業務上必要な関係者に対しては、情報へのアクセス権を与えざるを得ないため、内部不正による情報漏えいを防止することは困難です。

情報漏えいを防ぐ基本的な対策

情報漏えいを防ぐ基本的な対策

情報漏えいにはさまざまな原因があることを説明しました。それでは情報漏えいを防ぐためには、具体的にどのような方法をとればよいのでしょうか。

ここでは、情報漏えいを防ぐための方法を項目別に説明します。

OSやアプリケーションをアップデートする

OSやアプリケーションなどのソフトウェアは定期的に脆弱性が発見されます。脆弱性が発見されると悪意のある攻撃者に利用されるため、メーカーがセキュリティ対策のアップデートを配布します。

しかし、実際にメーカーからの連絡が届いてもアップデートをあえて行わないという人も見受けられます。アップデートによりアプリケーションが動かなったり、そもそもアップデートが完了するまで時間がかかるというのが主な理由です。このような理由でアップデートを実施しないまま過ごしてしまうと、脆弱性が放置され大きなリスクとなります。頻繁なアップデートは時間や手間もかかりますが、セキュリティ対策のためにも確実に実施するよう心がけましょう。

また、ルーターなどのネットワーク機器にも、ファームウェアと呼ばれるプログラムが組み込まれています。これらのファームウェアもアップデートされることがあるため、定期的な確認が必要です。

セキュリティ対策ソフトを導入する

ウイルスやマルウェアなどの不正プログラムへの感染や外部からの不正アクセスを防止するには、専用の対策ソフトが有効です。

例えば、ファイアウォールで送受信されるデータをフィルタリングすると、不正プログラムの侵入や不正アクセスを防止できます。また、ウイルス検知ソフトを導入すれば、受信した不正プログラムを自動的に検知できるため、被害が出る前の対策が可能です。

他のシステムとは切り離されたデジタルサンドボックスを設置し、不明なデータをサンドボックス内で確認することも効果的です。

後述するDRM技術などを使いデータを暗号化しておくことで、情報漏えいが発生しても中身を見られないようにする対策方法もあります。

「DRMとは?」の記事を見る

セキュリティ診断を行う

情報漏えいを防止するためには、まずどのようなセキュリティリスクがあるかを知らなければなりません。セキュリティ診断を行うと潜在的な情報漏えいのリスクを洗い出せるため、効果的な対策を行うことが可能になります。

セキュリティ診断では、悪意のある攻撃者が実際に使用するハッキングなどの方法を用いて疑似攻撃を行い、システムの脆弱性を確認します。表面的なセキュリティ対策のチェックではなく、より正しいリスクの洗い出しができるのです。

セキュリティ診断を行うには、具体的な攻撃方法を理解した専門家が必要です。また、リスクを洗い出したあとは、対策まで確実に行わなければ意味がありません。

サイファー・テックでは、経済産業省の定める情報セキュリティサービス基準に適合した、高品質なセキュリティ診断サービスを提供しています。

「セキュリティ診断サービス・Critical Hit」の詳細を見る

データをDRMで暗号化する

DRM(Digital Rights Management)とは、デジタルコンテンツの利用や複製を管理し、情報を保護する技術のことです。データは暗号化されるので、万が一流出が発生しても中身を確認されることはありませんし、正当なアクセス権限を持つユーザーであっても定められた範囲での利用に限定することで、不用意な情報漏えいを防止できます。

例えば、スクリーンショットの取得を防止したり、データへのアクセス期間を制限して必要以上にデータが利用できないようにしたり、一定の権限がなければ印刷できないようにするなどの保護が可能です。

企業にとって必要なDRMの要件は異なります。自社の運用に適したDRMサービスを検討されている方はお気軽にお問い合わせください。

詳細を問い合わせる

ネットワーク設定・アクセス権設定を行う

業務上不要な職員や第三者が機密情報にアクセスできないよう、ネットワークやアクセス権の設定は確実に行いましょう。

例えば、離れた支社間での通信や、テレワークなどで外部から社内ネットワークに接続する場合の通信はVPNなどの暗号通信技術を用い、第三者がアクセスできないようにすることが必要です。

また、社内ネットワーク上でも、それぞれの職員の業務内容や権限に合わせて必要最小限のデータにのみアクセスできるよう管理を行うことで、情報漏えいのリスクを最小限に抑えることができます。

ネットワークやアクセス権の設定は一度行ったら終わりではなく、定期的に見直しを行い、必要に応じて修正することが重要です。例えば退職や異動で不要になった権限が残っていると、情報漏えいのリスクになります。

機器の運用ルールを定める

システム面でのセキュリティ対策を万全にしても、使い方が悪ければ情報漏えいを防止することはできません。そのため、「決められた場所で使用する機器を勝手に持ち出さない」「私物の機器を社内ネットワークに接続しない」などの運用ルールを定めることが重要です。

例えば、管理責任者を定め、事前に承認を受けなければ機器の持ち出しができないフローにしたり、持ち出し記録をつけるといったルールが考えられます。

また、ヒューマンエラーによる情報漏えいが発生しないようにダブルチェックを行うことや、セキュリティ対策のアップデートを毎月何日に行うなどのスケジュールを定め、セキュリティ対策が確実に実施されるよう準備しておくことも重要です。

情報漏えいの原因と対策 – 企業に迫る重大リスクへの備え

セキュリティ教育を行う

セキュリティ意識の低さ、不注意、知識不足が起こらないよう、社内メンバーに対して定期的にセキュリティ教育を行う方法も対策として効果的です。

定期的なセキュリティ教育が行われないと、ルールを整備してもいつの間にか形骸化して守られなくなったり、知識がないため外部からの攻撃に気づかなかったりなど、情報漏えいのリスクを抱えることになります。

具体的な方法は社内研修などの集団受講、e-ラーニング、メール訓練などがあります。社内でセキュリティ教育を実施する体制がない場合は、外部講師などを依頼する方法も有効です。業務の状況や社内の体制を考慮し、効果的な教育方法を選定しましょう。

研修の実施後はインシデントの発生数が減少したかなど、成果をモニタリングするとより効果的なセキュリティ教育を実施できます。

サイファー・テックではセキュリティ意識向上トレーニングをはじめとした総合的な教育プログラム「実践型セキュリティトレーニング」を提供しております。

実践型セキュリティトレーニング・CypherGuardian

情報漏えい対策はセキュリティのプロに相談

この記事では、情報漏えいの原因や対策を説明しました。しかし、実際に情報漏えいを防ぐためのセキュリティ対策を行うには専門的な知識が必要です。リスク管理に不備があるとそこから情報漏えいが発生する恐れがあります。

自社だけでセキュリティ対策を行う場合は、専門の技術者のほか、部門を立ち上げて対策を行うことになり、コストも大きくなりがちです。確実な対策を行うためにセキュリティ対策サービスを提供している企業などに依頼することを検討すると良いかもしれません。

サイファー・テックでは、Webアプリやモバイルアプリからの情報漏えいのリスクを検証するセキュリティ診断、漏えいがあってもデータを守ることができるDRMサービス、社内メンバーのセキュリティ意識を向上させるトレーニングなどのサービスを提供しています。ぜひ一度お問い合わせください。

詳細を問い合わせる