個人情報などの機密情報が漏洩する事件が毎日のように報道されています。不正アクセスや人的ミスなど、情報漏洩にはいくつかの原因がありますが、ひとたび情報漏洩が発生してしまうと、なかったことにはできません。この記事では情報漏洩によって発生する影響や対策方法について詳しく解説します。
また、情報漏えいを防ぐ取り組みとしての情報セキュリティ対策の中で、企業がやるべき14分野30項目をまとめたチェックリストを無料で配布しています。あわせてご活用ください。
情報漏洩とは?
情報漏洩とは、機密情報や個人情報など企業が保有している重要データが外部に漏れてしまうことです。
インターネット上では、SNSやWebアプリケーションが利用できますが、それらはIDとパスワードによって認証されています。認証を行うことで、それらのWebサービスに保存されている情報へのアクセスを制限しているわけですが、不正アクセスなどの原因で、第三者に情報が流出してしまうことがあります。
つまりネットワークの利用で顧客データの保存や管理が容易になった反面、管理する情報の量や情報を扱う人も増え、漏洩するリスクも増大してしまったのです。
情報漏洩の原因は不正アクセスのような悪意のある攻撃だけとは限りません。「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏洩インシデントにおける漏洩原因の第1位は「紛失・置忘れ」で26.2%、「誤操作」が24.6%で第2位、「不正アクセス」は20.3%で第3位です。
つまり情報漏洩の原因の上位を占めているのが、うっかりミスなどによる人的ミスによるものなのです。
情報漏洩により起こりうる影響
企業において管理されるべき情報が漏洩することで発生する影響は甚大です。特に以下の2つは企業活動において大きな影響を与えます。
- 金銭的な損失
- 企業の信用の失墜
これら2つの影響について詳しく見ていきましょう。
損害賠償などによる金銭的な損失発生
企業は業務を行う上で、膨大な量の個人情報や機密情報を取り扱っています。特に個人情報については「個人情報の保護に関する法律」で保護されるような重要な情報です。
そのような重要な情報を取り扱っている企業から、情報漏洩が発生したらどのような影響が発生するのでしょうか。情報流出の規模にもよりますが、企業は非常に高額な損害賠償を行わなければならないケースがあります。
例えば企業が個人情報を漏洩させてしまった場合、刑事上の罰則と民事上の損害賠償責任を負わなければなりません。
個人情報を流出させた場合、主務大臣により注意勧告や命令の対象となります。しかしその命令に違反した場合、刑事上の罰則として「6か月以下の懲役または30万円以下の罰金刑」に処せられます。
これはあくまでも法律上の罰則規定です。
実際に個人情報を流出させてしまった場合、民事上の損害賠償責任が発生します。状況によって異なりますが、1人あたり数千円から数万円程度の金額にもなることがあります。
企業ではなく個人単位で管理している情報が漏洩した場合でも、クレジットカード不正利用などで金銭的な被害が発生する可能性があります。
例えばプライベートで利用しているECサイトに不正アクセスされて、身に覚えのない買い物をされたり、ネットバンクで自分の口座から他人の口座へと不正送金されたりしてしまうなどのケースです。
情報漏洩が原因で発生する金銭的被害の金額は予測困難です。特に企業においては金銭的被害に加えて、次で紹介する社会的信用の失墜も無視できません。
企業の社会的な信頼性の失墜
企業で情報漏洩が発生すると、テレビやネットニュースなどで大きく取り上げられることがあります。その際、自社の名前が情報漏洩を起こした企業として大きく報道され、会社のイメージが大きく損なわれます。
もしそうなってしまうと、自社の商品やサービスの売上が大きく下がったり、取引先から取引や契約を打ち切られたりする可能性があります。
そのような企業では、業務員が情報漏洩に関する対応に業務時間が奪われるため、通常の業務にも大きな影響が発生してしまいます。
一度失った社会的信用を取り戻すのは難しいでしょう。情報漏洩発生後の対応のまずさで、さらに事態を悪化させているケースも少なくありません。
こちらの資料では、20の事例それぞれにおける企業の対応が、現役セキュリティコンサルタントの目から見てどうであったか、どうするのが望ましかったのかといったこともまとめられておりますので、ぜひDLしてご活用ください。
予測される情報漏洩の事象に合わせた対策が大事
現在、情報漏洩は様々な企業で発生しており、原因についてもいくつかのパターンがあることがわかっています。そのため、予測可能な原因については予め対策やマニュアルを用意しておくことで効果的な対策が実施できます。
例えば以下のような情報漏洩の事象が予測されます。
- 人的ミスによる情報漏洩
- 外部からの不正アクセス
- 内部不正による情報漏洩
これら3つの原因について見ていきましょう。
人的ミスによる情報漏洩
まず人的ミスによる情報漏洩の場合、事前に予防策を講じていたとしてもミスが発生することはありえます。そのような時、ミスが発生した原因を追究し、管理体制や運用のルールの是正を行うことが重要です。
例えばうっかりミスにより個人情報が含まれたメールを、社外の人に誤って送信してしまった時のことを考えましょう。
まずは迅速に上司や情報システム部に報告して、その後の対応を仰ぎ、誤送信してしまった相手に対して、何らかの適切な対応が必要です。このようなことを予め想定しておけば、実際に人的ミスが発生した時も迅速に対応可能です。
外部からの不正アクセス
外部からの不正アクセスに対しては、情報システムの構築時などに、セキュリティの専門家らと協議しながら情報漏洩に備えることが重要です。
企業内にSOC(Security Operation Center)などを設置しても良いでしょう。
SOCとは24時間365日、ネットワークやコンピュータを監視して、サイバー攻撃の検知や対応策のアドバイスを行う組織のことです。情報システムの高度化により、企業内のネットワーク担当者やシステム部門では、必要なセキュリティ対策を行いきれないことがあります。
このような場合、専門性の高い人材が配置されているSOCの設置が有効です。
残念なことに、企業の内部不正により情報漏洩が発生してしまうこともあります。内部不正の対策として、デバイスの利用を制限、データアクセス権限を精査して適切な権限を与えることが有効です。
昨今のテレワーク環境では、ZTNA(ゼロトラストネットワークアクセス)などで対策することも有効です。ZTNAとは従業員が社内ネットワークやクラウドサービスなどに接続を試みる際に、デバイスのセキュリティ状態や接続元などを検証することで、不正なデバイスからのアクセスを受け付けないようにする技術です。
内部不正による情報漏洩
また内部不正を発生させないためにも、日頃から従業員に対するセキュリティ教育も重要です。セキュリティ教育でルールを守らなかった場合のリスクを説明し、ルールを守る風土づくりをすることも大事です。
情報漏洩の事例は過去に多数ある
ここからは情報漏洩事件の事例を3点紹介します。
セブンペイ事件
セブンイレブンが2019年7月1日に開始したQRコード決済システムの「7pay」で発生した不正アクセス事件です。この事件では7payのシステムのセキュリティ上の欠陥が話題となりました。
例えば、7payで認証に使われるIDが誰でも乗っ取られる仕組みになっており、クレジットカード情報などの金融情報を取り扱っているにも関わらず、2段階認証にも対応しておらず、パスワード変更に必要なはずの生年月日の入力を省略できるなどのずさんさが露呈しました。
結局、7payの利用は停止させられたまま、2019年9月30日をもってサービスを修了することになりました。
ドコモ口座事件
2020年9月にNTTドコモが提供しているドコモ口座を経由して、地方銀行の口座から預金が不正に引き出される事件が発生しました。攻撃者は、他人名義のドコモ口座を開設し、開設したドコモ口座と被害者の銀行口座を紐づけ、その銀行口座から攻撃者が解説したドコモ口座へとチャージする形で不正に送金させていました。
ドコモ口座事件では「リバースブルートフォース攻撃」というサイバー攻撃が使われたことも話題となりました。通常のブルートフォース攻撃では、特定のIDに対してパスワードを総当たりで攻撃する手法が用いられますが、リバースブルートフォース攻撃では、パスワードを固定にした状態で、複数IDに対して総当たりを仕掛ける手法が使われています。これにより、シンプルでわかりやすい暗証番号を使用していた場合、認証が突破され、被害者の銀行口座へと不正アクセスされてしまいました。
カプコン情報流出事件
株式会社カプコンが2020年11月16日、同社グループシステムが保有する顧客情報、従業員情報、採用応募者情報などの合計35万件が外部流出した可能性があると発表しました。
カプコンの発表によると、この情報漏洩事件の原因は、ランサムウェアを用いた標的型攻撃でした。この情報漏洩ではクレジットカード番号の流出はなかったとされていますが、氏名や住所、電話番号、メールアドレスなど内容の個人情報が流出した可能性があると発表されています。
まとめ
情報漏洩は企業活動において重大なセキュリティ事故です。記事中でも紹介したように、情報漏洩の理由の多くは人的ミスによるものです。情報漏洩への対策では、従業員に対するセキュリティ意識を高める教育に加えて、技術的な対応策の導入なども合わせて取り組むことが効果的です。
まずは自社の対応状況をチェックしましょう。