情報漏洩とは何か?原因、対策を徹底解説!
情報漏洩事故は現在、一部の大企業だけでなく、中小企業にも多数発生しています。情報漏洩が問題になっていることを知っているが、実態がわからず原因やリスク、対策方法がわからない企業の担当者の方もいるのではないでしょうか。
この記事では、機密情報や顧客情報などの漏洩が発生する原因や必要な対策を徹底解説します。情報漏洩の実態を理解し、万全の対策がとれるようにこの記事を読んで備えましょう!
情報漏洩とは?
「情報漏洩」とは、企業などの組織が保管する機密情報や顧客情報が、内的・外的な要因で外部へ流出することを指します。漏洩しやすい情報として、
機密情報(事業を運営する中で、他社に秘匿すべき情報。新製品の開発や営業秘密など)
個人情報(個人特定可能な情報。氏名や住所、病歴など)
顧客情報(顧客に関する情報。法人が顧客となるケースも多いため、個人情報とは違う)
の3つが挙げられます。
上記は、漏洩すると大規模な被害につながるため、内部・外部において十分な漏洩対策が必要です。
情報漏洩と情報流出の違いについて
「情報漏洩」と「情報流出」、どちらもニュースなどを通して見聞きし、意味は同じように感じますが、厳密には異なると言えます。「情報漏洩」とは、上述した通りですが、「情報流出」とは内部の情報が外部に流出することを指します。つまり、「情報漏洩」は『知られてしまうこと』、「情報流出」は『外部に出てしまうこと』に重きを置いた表現なので、的確に表現したいときは使い分けることをお勧めします。
情報漏洩の具体例
実際に起きた情報漏洩の具体例を見てみましょう。
近年発生した流出規模の大きい事例を見てみると、漏洩人数が多かったのは、企業への不正アクセスが原因の800万人分の個人データの流出です。
次に、JNSA(NPO日本ネットワークセキュリティ協会)が公開している「インシデント損害額調査レポート2021年版」(外部サイト)に掲載されている情報漏洩のモデルケースを2つ紹介します。
①大規模なマルウェアへの感染
概要:海外子会社のサーバーがサイバー攻撃を受けた。その後ネットワークへの侵入を続け、本社が管理しているサーバーにアクセスをされた。さらに各種データをランサムウェアに感染させ、暗号化するとともに、一部をダークウェブ上で公開した。データ公開を辞めることと回復を引き換えに身代金を企業に要求した。
対応:インシデントレスポンス事業者に調査、データ復旧などを依頼
被害概要:
・社内ネットワーク全体が停止し、社内外とのメールのやり取りができない
・生産ラインで使用するシステムが利用できず製品を出荷停止せざるを得ない
・従業員端末の入れ替えが必要となり、収束には3か月要した
損失額:3億7600万円(調査費用1億円、従業員端末等の入れ替え費用1.42億円、再発防止費用0.5億円、利益損害0.84億円)
②ECサイトからクレジットカード情報等の漏洩
概要:ECサイトから、顧客の氏名、住所、クレジットカード情報、セキュリティコード等が漏洩していることが、決済代行会社からの通報により判明した。
対応:ECサイトの停止を制作会社に依頼すると同時に、インシデントレスポンス事業者に攻撃手法や被害範囲等の調査を依頼。
被害概要:ECサイトのシステムの脆弱性が狙われ、サイトが改ざんされており、利用者が入力したクレジットカード番号などの各種情報が、攻撃装置に通じており、10000件漏洩していること、さらに不正利用2500万円発生していることが判明。
損失額:9490万円(ECサイト停止10万円、調査300万円、法律相談費用50万円、コールセンター問い合わせ委託費用1080万円、お詫び650万円、ECサイト再構築800万円)
情報漏洩が会社に与える影響
上述したように、企業や組織において情報漏洩事件による二次被害は大規模なものとなっています。情報が漏洩すると、信用の失墜によるビジネス機会が損失することは容易に想像できます。顧客の個人情報が漏洩すれば、損害賠償の支払いも発生することとなります。
これらを踏まえ、機密情報と顧客情報、個人情報が流出し、企業に与える具体例を見ていきましょう。
機密情報が流出する場合
・営業戦略を外部の企業に知られてしまい、先手を打たれる可能性がある
・開発中の製品が競合他社へ流出し、盗作される可能性がある
・情報管理が甘く、信頼がなくなってしまう可能性がある
自社の機密情報を外部に握られることで、競争優位に立つチャンスを逃してしまうことに加え、自社のイメージダウンにもつながってしまいます。
顧客情報や個人情報漏洩が漏洩した場合
前提として、顧客情報や個人情報の漏洩は費用面において、そして今後のビジネスの機会を失うことに直結するという面において被害は重大です。以下の可能性が見込まれます。
・顧客だけでなく、社会全体から信用の失墜が起きる。
・顧客情報が公開され、個人情報流出になることで金銭的な損失を生む可能性がある。
信頼を失うだけでなく、顧客にも被害が及ぶ可能性があるため、今後ビジネスの継続は厳しい状況になります。情報漏洩は会社存続にかかわる重大な事態であることを認識しましょう。
情報漏洩の原因は多種多様
情報漏洩は、不正アクセスやウイルスが原因であるため、対策ソフトを定期更新すれば何の恐れもないというのは誤った考え方です。実際は、それだけでは情報漏洩を未然に防ぐことはできません。それは、社内に原因があるケースも多いためです。
社内と社外で発生するそれぞれの原因を確認しましょう。
人為ミスによる3つの事例
社内で起こる人為的ミスによって発生する情報漏洩を3つ紹介します。
①誤送信などの誤操作
情報漏洩は、社員も気づかぬところで発生してしまうことがあります。
・メールの送信先を誤り、無意識に外部へ情報流出してしまう。
・BCCに入れるべき送信先をCCに入れてしまい、全員のメールアドレスを公開してしまう。
・個人情報が書かれたデータを誤って公開してしまう。
上記の事例は、事前に注意喚起など対策をしておけば防げるものです。
②紙など媒体の紛失、置き忘れ
情報漏洩が発生するのは、メールの誤送信など電子端末によるデータのやり取りだけではありません。紙などの媒体を紛失することや置き忘れることも情報漏洩に繋がります。
・機密情報、個人情報、顧客情報が記載された紙
・機密情報、個人情報、顧客情報が記録されている媒体(USBメモリ、SDカードなど)
上記の事例も、社内で注意喚起など対策を実施すれば防げるものです。
③データ破棄をせずに廃棄する
処分したパソコンなどの電子端末、サーバーから情報漏洩が発生することにも注意喚起が必要です。事例として以下の2つが挙げられます。
・リース会社に返却したサーバーのハードディスクが勝手に転売され、県情報が外部へ流出した。
・フォーマットだけでは、データ消去が完全にできていなかった。
担当者が情報漏洩へのリスクを的確に認識し、注意喚起を促しましょう。
内部不正による事例
悪意を持った社員や退職者によるものなど、人為的なミスだけでなく、不正が起きる可能性があります。
・会社の許可なく、メールなどを通して外部へデータを流出させる
・社内情報をSNSに許可なく公開する
上記事例では、顧客に被害が発生すれば、損害を賠償する必要があります。顧客の被害がない場合でも、社内の情報が外部に漏洩し、何らかの被害を受ける可能性はあります。「情報漏洩が会社に与える影響」で解説したような被害が起きてしまいます。
外部からの攻撃による2つの事例
不正アクセスやマルウェアへの感染、フィッシングなど外部攻撃によって発生する情報漏洩の可能性は非常に高いです。2つの事例からリスクを理解しましょう。
①不正アクセスやサイバー攻撃
近年では情報漏洩の主な原因として、「情報漏洩の具体例」で挙げたような、不正アクセスや外部攻撃が増えてきています。日本被害保険協会『中小企業の経営者のサイバーリスク意識調査2019・2020』によると、被害を受けた中小企業は18.7%にのぼります。被害を受けると、大量な情報漏洩が起きる可能性が否定できません。
ウイルスやマルウェアといった不正なプログラムの実行は、以下の項目が主な侵入経路です。
・電子メールやメッセージツールの添付ファイル
・ダウンロードしたファイル
ウイルスは無害なファイルに偽装している場合もあります。リスク管理、対策が必要不可欠です。
②フィッシング
有名企業と似ている偽サイトにより情報を抜き取られる「フィッシング」も近年増加傾向にあります。偽サイトに気が付かないまま使用してしまえば、入力した情報がすべて外部に流出し、情報漏洩が発生してしまいます。
ブラウザのアドレスバーをチェックすることで、本物と区別がつきます。外部による攻撃においても、担当者の対策次第で未然に防げるでしょう。
情報漏洩を防ぐ6つの対策
情報漏洩による被害や損失に関して具体例を用いて詳しく解説しました。ここからは担当者の注意喚起だけでなく、具体的な対策方法を見ていきましょう!適切な対策を取ることで情報漏洩は未然に防げます。
①ルールを定め遵守させる
情報漏洩を未然に防ぐ第一歩は、ルールの策定から始まります。少なくとも下記の項目を定め、従業員に遵守させましょう。
・業務に必要のないサイトは閲覧禁止
・私物ソフトや端末、記録媒体は持ち込まない
・セキュリティソフトの更新とメールなどに添付されているファイルのウイルスチャックを確実に実施
・情報や電子端末を持ち出す際のルール
・社会でインターネットに接続する際のルール
・記録媒体の廃棄時のルール
②ユーザーの認証方法を工夫
ユーザーの認証方法として、主流派パスワードやIDを用いるのですが、セキュリティを確保するためには工夫が必要です。例として以下の方法があります。
・生体認証(声や顔、指紋や脈を用いた認証方法など)
・IDカードやICカードなど、所有物を用いた認証
・ワンタイムパスワード
・シングルサインオン
ただし、難しい認証方法になると、従業員の負担となり、ルールを破ってしまう可能性が高まってしまいます。利便性を確保しながらセキュリティも確保できるような対策を考えることが重要です。
h4③誰が何をいつしたのか記録する
誰が何をいつしたのか記録することで、ミスや不正に対する意識向上につながると言えるでしょう。その一つとして、ログを取得することが挙げられます。
昨今ではシステムを利用する企業において、ログの重要性が浸透しています。しかし、うまく活用できているケースはそれほど多くはありません。ログを利用した監査・監視の仕組みがあることで、仮に情報漏洩が発生した場合でも、迅速な対応が可能になります。
また、勉強会や研修を実施し、ログを取っている、常に見られているという社員に意識付けをすることは、ミスや不正も抑止できるでしょう。
h4④通信の秘匿
通信の秘匿はサイバー攻撃への対策において、基本的な情報漏洩対策のひとつです。サイバー攻撃はインターネットなどのネットワークを介して行われるため、外部から通信内容を
傍受できない仕組みを取り入れる必要があります。例として以下の項目があります。
・テレワーク環境でのVPNの導入
・携帯電話網などの閉域網を活用した通信サービス
VPNの導入に関しては、VPN機器の脆弱性を狙った攻撃が多いのは懸念点として挙げられます。携帯電話網などの閉域網を活用した通信サービスに関しては、通信の事実自体を秘匿することが可能で、よりセキュリティレベルの高い対策方法といえるでしょう。
⑤データの暗号化
通信の秘匿に加え、通信データや保存データなどのデータを暗号化することも情報漏洩対策の基本であると言えます。今回は下記の2つを紹介します。
・AES256 ビット暗号化
・TLS1.2
強力な暗号化方式として信頼性が高いのは「AES256 ビット暗号化」、インターネット通信の暗号化プロトコルとして推奨されるのは「TLS 1.2」です。これらによってデータを暗号化すれば、情報流出が発生しても、元データの読み取りができないので、情報漏洩につながることはないのです。
アプリやサービスによっては暗号化の強度が低いため、暗号化の仕組みを重視して選びましょう。
⑥セキュリティ専門家に教わる
情報は会社の重要な資産の一つで、漏洩を防ぐためには投資が必要です。セキュリティに詳しい人材を採用することはセキュリティ確保の第一歩となるでしょう。また、専門家によるアドバイスを受けることも有効であると言えます。専門的な視点で、有益な指摘を受け、詳しい人材が実施をしていく。このような構図で情報漏洩を未然に防いでいきましょう!
まとめ
この記事では、情報漏洩の事例、原因、対策方法まで詳しく解説しました。担当者の方が正しい知識を取り入れ、状況に応じた適切な対策を取り入れることが情報漏洩を未然に防ぐことに繋がります。事業継続のためにも、情報漏洩を未然に防ぎ、信頼され、安心される組織形成を徹底しましょう!
この記事では、企業における情報漏洩の事例から、原因、対策まで詳しく解説しました。担当者の方は、個人情報漏洩対策を徹底する必要があることが理解できたのではないでしょうか。プライバシーマークを取得することで、社内の個人情報保護体制を見直し、社内の個人情報の取り扱いについて信頼を得ることが出来ます。この機会にぜひプライバシーマークの取得、更新を検討してみてはいかがでしょうか。
株式会社UPFには、業界No.1を誇る実績に基づく、プライバシーマーク(Pマーク)教育のノウハウがございます。
教育実施でお悩みの企業様・ご担当社様は、どうぞお気軽にお問い合わせください。
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
JIS Q 15001とは何か?Pマークとの関連性から活用メリットまで解説します
JIS Q 15001とはどのように活用されるものなのでしょうか。また、JIS Q 15001について調べると必ず目にするPマークはどのようなもので、JIS Q 15001とはどの […]
ISMAP管理基準とは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? 近年テレワークの拡大やDX化の促進によりクラウドサービスへの関心が高まっています。 本記事ではISMAPの概要 […]
ISMAPクラウドサービスリストとは?徹底的に解説!
日本初の情報セキュリティ評価制度ISMAPについてご存じでしょうか? まだまだ馴染みのない言葉だと思います。今後デジタル化がさらに加速する中で多くのクラウドサービスが開発されていく […]
isms認証とiso27001認証との違いを徹底解説!
情報セキュリティの管理を考える上で、無視できないのがISMS認証です。この名称を聞いたことがある人も多いのではないでしょうか。その他にはISO27001認証、Pマーク等、ISMS認 […]
ISMAPのメリット、登録方法まで徹底解説!
ISMAPは2020年6月から運用が始まっています。2021年3月に初めてISMAPのクラウドサービスリストが公開され、四半期ごとに更新されています。 この記事では、ISMAPの解 […]