2023/12/04サイバー攻撃

情報漏洩の脅威と被害

twitter

Linkedin

情報漏洩の脅威と被害 

執筆:CISO事業部 李 東俊

 

要旨

情報漏洩とは企業のデータや顧客の情報など、企業や組織が守るべき情報が外部に流れ出る事態を意味します。これにより起こり得るリスクとして、顧客の信用が失われるほか、時間・費用の損害、法律による罰則などがあります。

具体的な例としては、マルウェアのような外部攻撃やデータの誤送信・誤操作などのような人為ミスなどが挙げられます。

対策方法としてはセキュリティシステムを使った技術的対策と、人的・組織的面で対策する非技術的対策があります。しかし、情報漏洩に対する完璧な対策は存在せず、個人や企業で情報漏洩のリスクを意識して常日頃から備えることが何より大切です。

情報漏洩とは

情報漏洩とは、企業のデータや顧客の情報など、企業や組織が守るべき情報が外部に流れ出る事態を意味します。[1

企業の情報漏洩による事業運営のリスクとしては、「顧客と社会からの信用が失われる」、「事後対応に多大な時間と費用、人員が割かれる」、「法律による罰則が課される可能性がある」などが挙げられます。[2

情報漏洩が発生する理由と事例

情報漏洩の発生原因は外部からの漏洩と内部からの漏洩に分けることができます。

外部からの攻撃による情報漏洩には不正アクセスやサイバー攻撃、ウィルスやマルウェアの感染、フィッシング、盗難などがあり、2020年の調査によると最も事故原因として多いのは不正アクセスおよびウィルス感染でした。[2][3

 

1.上場企業の情報漏洩・紛失件数の原因

出典:東京商工リサーチ「上場企業の個人情報漏洩・紛失事故」調査(2020年)

 

外部攻撃の例として、2013年にヤフー株式会社では、クッキーシステムのハッキングによって30億人にのぼるユーザーの名前、生年月日、メールアドレス、パスワードなどの個人情報が漏洩した事例があります。この事件の全容が明らかになったのは事件発生から3年後であり、同社買収の交渉中だったヤフーは買収提案額を35000万米ドル減額されました。[4

 次に、内部からの情報漏洩の大きな原因として人為ミスが挙げられます。データの誤送信・誤操作、無断持ち出し及び情報媒体の紛失や誤廃棄などがあり、総じて不正アクセスとウィルス感染に次ぐ発生数を示しています。[2][3

この事例として、2020年北海道にある広告会社で、業務基幹システムの開発業務を委託した委託先の従業員がミスを起こし、取引先情報28515件(そのうち個人情報15599件)が外部から閲覧可能状態になる問題が発生しました。従業員がソフト開発プラットフォームを使用して作業した際に、誤操作によってソースコード、取引先情報を外部閲覧可能な状態に変更してしまったことで情報漏洩が発生しました。[5

 また、割合は少ないものの、近年では会社の中途退職者などによる内部不正による情報漏洩も増加傾向にあります。[6

対策するには?

では、どのようにしてこれら情報漏洩を対策できるのでしょうか。

情報漏洩の対策方法は大きく技術的対策と非技術的対策に分けることができます。

技術対策とは、USBなどの媒体によるデータの持ち出しやシャドーITをシステムで制御することです。ここで、シャドーITとはIT部門から承認を受けていない、あるいは把握されていない状況で業務に使用される、デバイスやITサービスを指します。

しかし、この方法には多くの便利なサービスの利用を制限することで業務の生産性や効率性を低下するといった問題があります。また、効率を優先するあまりに対策自体がユーザーから軽視されるといった、利用者である個人に関する問題も挙げられます。特に、コロナ禍におけるテレワークの拡大は「シャドーIT」のリスクを高めています。[7][8

次に、非技術的対策とは、人的及び組織的な面からの対策です。実際の運用に沿ったポリシーの策定、整備、実施などにより融通が利きやすいという利点を持ちますが、技術的対策と同様に、ルール順守の強制力がない課題を抱えております。よって、組織全体の情報セキュリティ水準を低下させる恐れがあります。[7

以上の対策方法は組織の意思決定とは一致しない場合が多いとされています。実際に、個人がこれら対策を無視し、営業実績や生産性を高めることは可能でしょう。しかし、それは情報漏洩のリスクを伴っており、もたらす組織への不利益を考えると正しい方法とは考えられません。ゆえに、組織の情報セキュリティ管理者は従業員の不適切な行動に注意を払い、情報セキュリティ教育を実施する必要があります。

おわりに

情報とは組織の大事な資産であり、その漏洩による損害は組織において致命的であることをご理解いただけでしょうか。言い換えれば、情報漏洩が組織に及ぼす悪影響とその原因を正しく理解し、適切な対策をとることは信頼される安定した事業運営につながります。

これを踏まえて、個人や企業で情報漏洩のリスクを意識して常日頃から備えることが大切であり、このことをご理解いただければと思います。

【プロフィール】

李 東俊(い どんじゅん)

2023年アイディルートコンサルティング株式会社(IDR)の前身であるデジタルアーツコンサルティング株式会社に新卒で入社。
国内大手企業の情報システムを担う専門機能会社に向けたクラウドセキュリティソリューション運用支援プロジェクトの案件に参画。

監修:吉田 卓史(よしだ たくし)

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

 

参考資料

1情報漏えいとは?事例やセキュリティ対策、発生する理由を解説 | オージス総研 (ogis-ri.co.jp)
https://www.ogis-ri.co.jp/column/takufile/c106384.html#:~:text=%E6%83%85%E5%A0%B1%E6%BC%8F%E3%81%88%E3%81%84%E3%81%A8%E6%83%85%E5%A0%B1%E6%B5%81%E5%87%BA%E3%81%AE%E9%81%95%E3%81%84&text=%E3%81%A4%E3%81%BE%E3%82%8A%E3%80%81%E3%80%8C%E6%83%85%E5%A0%B1%E6%BC%8F%E3%81%88%E3%81%84%E3%80%8D%E3%81%AF,%E3%82%92%E3%81%8A%E3%81%84%E3%81%9F%E8%A1%A8%E7%8F%BE%E3%81%A7%E3%81%99%E3%80%82

2情報漏洩とは何か?リスクとなる理由や原因、取るべき対策を徹底解説【お役立ち情報】 | OFFICE110

https://office110.jp/security/knowledge/cyber-attack/information-leakage

3「上場企業の個人情報漏えい・紛失事故」調査 | TSRデータインサイト | 東京商工リサーチ (tsr-net.co.jp)
https://www.tsr-net.co.jp/data/detail/1189698_1527.html

4What is a Data Breach? | IBM
https://www.ibm.com/topics/data-breach

5情報漏えいニュースの考察~誤操作によるインシデント編~ - エンドポイントの情報漏えい対策を考えるコラム (onebe.co.jp)

https://www.onebe.co.jp/column/%e6%83%85%e5%a0%b1%e6%bc%8f%e3%81%88%e3%81%84%e3%83%8b%e3%83%a5%e3%83%bc%e3%82%b9%e3%81%ae%e8%80%83%e5%af%9f%ef%bd%9e%e8%aa%a4%e6%93%8d%e4%bd%9c%e3%81%ab%e3%82%88%e3%82%8b%e3%82%a4%e3%83%b3%e3%82%b7/

6「企業における営業秘密管理に関する実態調査2020」報告書について | アーカイブ | IPA 独立行政法人 情報処理推進機構

https://www.ipa.go.jp/archive/security/reports/2020/ts-kanri.html

 [7IPSJ-JNL5612002.pdf
情報処理学会論文誌 Vol.56 No.12 2191-2199(Dec.2015)
「情報漏洩につながる行動に関する実証分析」 
竹村敏彦、三好祐輔、花村憲一

8テレワークで増大するシャドーITのリスク。CASBの活用でSaaS利用管理の徹底を|SASEソリューション Netskope - サイバネット (cybernet.co.jp)

https://www.cybernet.co.jp/netskope/tips/10/

twitter

Linkedin

コラム一覧に戻る