まとめ
セキュリティ対策の技術が進化してきている昨今でも、情報漏洩による事故はなくなることなく、日々発生し続けています。
情報漏洩はあらゆる企業・団体または個人で起こり得る、ごく身近な問題です。特に企業においては企業活動を脅かす大きな要因のひとつとなり、さまざまな損害をもたらす恐れがあります。具体的には「社会的信用の失墜」「企業イメージの著しい低下」や、それに伴う利益の減少、損害請求への対応などが挙げられます。
本記事では、情報漏洩の原因と発生した場合のリスクを事例とともに考え、情報漏洩を防ぐ対策について紹介していきます。
情報漏洩とは、個人情報や企業における機密データや顧客情報など、内部に留めておくべき重要な情報が、なんらかの原因によって外部に漏れてしまうことです。
一般にパソコンが普及して以降、情報通信技術は進化し、様々な情報を簡単に保存・管理できるようになりました。しかし、多くの人が重要な情報を扱うことが容易くなり、管理可能な情報量も増えたことで、情報漏洩するリスクが大幅に増えたのも事実です。
例えば、企業が保持している膨大な数の顧客情報は、犯罪者にとって高額取引ができる情報とみなされ、狙われる対象になり得ます。脆弱なセキュリティの隙を突いた外部攻撃から、大切な情報を守るために備えるのは、企業であれば今や当然の常識となっているのです。
情報漏洩の常識としてまず先に見直さなければならないのは、大部分が日頃のちょっとした気の緩みから発生する、人為的ミスが原因で起こる事故に占められているということです。
次の章では、上記をふまえ情報漏洩の原因について詳しく考えていきたいと思います。
情報漏洩の原因を考える際、真っ先にイメージするのはどんなことでしょうか?
ウイルスや不正アクセスなど、外部からの攻撃を思い浮かべる方が多いのではないかと思います。しかし、JNSAによる「2018年 情報セキュリティインシデントに関する調査報告書」では、大部分が「紛失・置忘れ」「誤操作」「管理ミス」といった人為的ミスが原因と報告があります。日頃の行動を改めることによって防げる原因が、情報漏洩事故につながっていることがわかります。身近に潜むリスクを見直し、効果的なセキュリティ対策へつなげていきたいものです。
「紛失・置忘れ」は身近な行動と密接に関わっており、多くの状況が考えられ、以下のような例が多いようです。
紛失・置忘れは誰にでも起こりうることですので、常に「大事な情報資産を持っている」という意識を持つことが必要になってきます。日頃から忘れ物が多いという人は、それを防ぐための工夫をする。お酒が好きで呑まれやすいという人であれば、お酒を飲む場合は情報資産を持ち歩かない、というような対策方法が有効かもしれません。企業・組織では情報教育を徹底し、紛失・置忘れを防ぐことが第一です。万が一起こった場合であっても、情報漏洩リスクを軽減できるよう「使用端末へは必ずパスワードを設定する」「PCを持ち歩く場合は電源を切る」などの規則を設定することが必要です。
「誤操作」も身近な行動と密接に関わっている原因の一つです。
誤操作に関しては、日頃から常に意識していても、集中力が低下したタイミングやちょっとした気の緩みから簡単に発生してしまいます。たとえ悪意のないうっかりミスで大きな問題に発展しない場合でも、個人情報・企業情報の流出事故に変わりありません。取返しのつかない重大な事態を引き起こすことがないよう、情報を扱う一人ひとりの意識の向上が必要です。基本的な行動を見直し、下記を例に実行することが、防止策につながります。
しかし、どんなに気を付けていても無くならないのが人為的ミスです。そのため、誤送信防止ツールや送信取消しツールなどの機能を導入し備える手段もあります。
ちなみに、情報漏洩の原因第3位は「不正アクセス:20.3%」です。手口は様々で日ごと巧妙化しており「システムの脆弱性を狙った侵入」「なりすましログイン」「パスワード総当り攻撃」「ウィルス感染」「フィッシング」などが代表的な例です。
「管理ミス」は数字の割合だけ見ると少ないように感じますが、原因1位の「紛失・置忘れ」、2位の「誤操作」とも関連が大きいため、以下の項目をしっかり見直すことが必要です。
また、管理ミスは大きく以下2つのカテゴリに分けられます。
管理ミスによる事故を防ぐ為にも、管理側は管理すべき情報の整理やルール制定を行う必要があります。そして、情報を扱うすべての人に対し情報教育を定期的に行うなど、セキュリティ対策について徹底的な意識付けが必要です。また、関連会社や業務委託先がある場合は、社内だけに留まらず周知や教育が行き届くように努めることも忘れてはなりません。
原因の5位以降は「盗難:3.8%」「設定ミス:3.6%」「内部犯行・不正行為:2.9%」と続きます。原因全体の6割以上が人為的ミスにより情報漏洩が発生しているため、いかにそれを防止するかがセキュリティ強化につながり、人為的ミスが引き金で発生する不正アクセスを回避できる可能性があります。実は侮れない初歩的な人為的ミスについて、ご理解いただけたのではないかと思います。
ここでは、実際に情報漏洩が起きるとどうなるのか?これまでに起こったセキュリティインシデントの事例を、情報漏洩の原因に多く挙げられる4つのカテゴリ別に紹介します。
<業務用ノートパソコンを帰宅途中に紛失>
飲食事業を幅広く展開している某企業の社員が、顧客情報約7万件が内在するノートパソコンを、帰宅途中に立ち寄った小売店舗で紛失。発覚後、警察当局や現場の小売店舗へ連絡したが、公表時に発見には至っておらず、情報流出の可能性があるとされています。さらなる情報流出を防ぐ対応として、遠隔操作でノートパソコンのパスワードを複雑なものに変更。さらに社内ネットワークへのアクセスを遮断するなどの措置を施しました。このセキュリティ事故をきっかけに、この企業は再発防止に向け、個人情報の取り扱いや従業員教育などを進めると発表しています。
終業後で気が緩んでいたのかもしれませんが、情報を扱う当事者の意識が低いことにより招いたインシデントです。従業員に対する情報教育が徹底されていなかった可能性もありますので、「管理ミス」に関連する事例であるとも言えるでしょう。
<作業中の人為的ミスで長期間にわたり情報流出>
某協同組合にて、ホームページ更新作業中のミスにより、顧客情報約2万件を記載した資料が、閲覧可能な状態になっていたと見られる。その顧客情報は、約2ヶ月半のあいだ流出状態にありました。該当の情報は削除され、影響を受けた顧客へ謝罪を進めています。しかし、問題の資料はインターネット上で特定の操作をすれば、誰でも閲覧できる状態にあった為、外部流出した可能性は高いとされています。
こちらは作業中にミスをしただけでなく、確認作業を怠ったことでミスに気付くことなく、長期間にわたり個人情報が無防備な状態で外部に晒され続けていました。作業した本人がダブルチェックを徹底する、複数人で確認する、といった基本的な作業で防げるミスのため、組織全体で情報管理について見直すことが必要な事例ではないでしょうか。
<規定を破り業務用USBメモリを持ち出した際に情報流出>
某スーパーマーケット経営会社の従業員が、顧客情報約1万件が保存されたUSBメモリを、社内規定で禁止されていたにも関わらず持ち出し、紛失しました。公表の時点では発見に至っていません。当該USBメモリには、強固なセキュリティ設定と暗号化処理に守られており、流出の可能性は低いとしています。
こちらは、「管理ミス」における2つのカテゴリのうちの1つである「組織のセキュリティに関するルールがあるにも関わらず、違反者がおり情報漏洩が発生する」事例に該当します。当該社員に悪意があったかどうかはわかりませんが、情報管理に対する意識が低かったのは明らかです。また、管理する側も、現行の情報教育のやり方では意識付けが甘いと判明した場合は、早急に見直しをする必要があります。
<システムの脆弱性をついてハッカーに攻撃され重要情報が流出>
大手電機メーカーとそのグループ企業が、ハッカー集団からのサイバー攻撃で、システムの脆弱性をつかれた事により、7,700万件以上の顧客情報が流出。クレジットカード情報に至っては、最大1,000万件漏洩の可能性があるといいます。また、迅速に情報公開をしなかったため、世界中から批判を浴びる結果なりました。
日々、巧妙化していく不正アクセスの手口と戦い、大事な情報を守り続けるため、多くの企業や組織が情報セキュリティ対策に力を入れ取り組んでいます。万が一事故が起こってしまった場合は、迅速な対応が必要です。企業イメージの悪化を恐れて被害の公表が遅れると、イメージダウンに拍車がかかる他、被害がさらに拡大するなどの二次被害につながる可能性があります。
<外出先で業務用のノートパソコン・携帯端末を収めたカバンを盗まれ情報流出>
海外出張中の某大学病院に所属の医師が、患者情報約3,000件、及び大学教職員の情報約1,000件が保存されたノートパソコン・携帯端末を収めた鞄を持ち出し、盗難された被害です。公表の時点で、不正利用などの二次被害は確認されていません。
このような盗難被害の場合、犯人の当初の目的は個人情報でない可能性もありますが、悪意ある第三者の手に大切な個人情報が渡った場合、様々な手口で悪用されるケースが想定されます。特に海外で端末を紛失すると無事に発見される可能性は低いと言えるため、流出した可能性は高い状況でしょう。 海外・国内に関わらず、あらゆる盗難被害を防止する対策が必要です。
情報漏洩が起った場合、想定される損害リスクはどのようなものがあるのでしょうか。「損害賠償」と「その他の損害」2つのカテゴリに分け、考えてみたいと思います。
情報漏洩における損害賠償は一律に算出できるものではなく、インシデントの規模や流出した情報量・内容によって差があります。1つの目安として「情報漏洩の原因」の章で紹介したJNSAによる「2018年 情報セキュリティインシデントに関する調査報告書」では、下記のように記載されています。
情報漏洩事故一件あたりの平均想定損害賠償額:6億3,767万円
一人あたり平均想定損害賠償額:2万9,768円
しかし、これはあくまで一年間に発生したすべての情報漏洩事故を平均した場合の数字です。流出件数や漏洩した個人情報の機密性によって金額は大きく変動しますし、金銭的な被害につながった場合には、さらに請求額は上がります。また、損害賠償が発生すると、争訴費用や弁護士費用といった出費が、別途必要になることも念頭に置かなければなりません。
情報漏洩事故が起こると、損害賠償以外の損害や損失が多く発生します。
例えば、情報漏洩後の対応に発生する費用・対応業務に伴う通信費・問い合わせ対応費用・事故対応に関わる人件費・事故原因調査などの事後対応費・謝罪のための広告費…等といった「費用損害」、インシデント対応優先になることによる業務の中断・業務効率の低下・社員のモチベーションダウン・社会的信用の失墜・それらによって引き起こる企業利益の低下…というように、インシデントが起らなければ本来得られるべきであった「逸失利益」も発生します。
このように、一度の情報漏洩事故で、計り知れない損失が予想されるのです。費用・時間そして労力も掛かるため、企業・団体が存続の危機に陥ることになるでしょう。
また何より、ここで重要なのは金額的に償えるかどうかでありません。情報漏洩事故の発生は、被害者にとっても加害者にとっても、損害賠償などとして算出しきれない程のリスクが潜んでいます。日々情報を取り扱う一人ひとりが、それらのことを自覚し見直すことが必要なのではないでしょうか。
大きな損害をもたらす情報漏洩事故を防ぐ為には、漏洩が起こる前にしっかり対策することが重要です。対策費用を捻出するのが難しい…と先延ばしにするケースがあるようですが、インシデントが発生した後にかかる膨大な損害額や、企業活動の存続すら危ぶまれる状況に陥ることと比較した場合、無理をしてでも防止対策費用を捻出する方がコスト的には断然安いのではないでしょうか。
「情報漏洩の原因」の部分でご紹介した通り、対策の基本として「管理ミス」を無くすことが重要です。組織・団体として、管理側は管理すべき情報の整理・ルール制定を行いましょう。未整備できちんと整理されていない状態は、万が一事故が発生した場合、状況把握が難しくなり、更なる被害拡大を生む原因にもつながりかねません。
情報を扱うすべての人に対し情報教育を徹底することも、大切な対策の一つです。セキュリティ対策について徹底的な意識付けをすることにより、人為的ミスや、ルールがあるにも関わらず違反者が現れる等の事故を防ぐことにつながります。しっかり意識付けするためにも、定期的な開催が望ましいでしょう。また、関連会社や業務委託先がある場合は、共通のルールを作成するなど、社内とは別の配慮で対策する必要があります。
整備をした上で、Webサイトやソフトの脆弱性に不安がある場合には、セキュリティソフトの導入・更新をするなど具体的な対策を検討することが大切です。 専門家への相談を行うと確実なアドバイスが貰えるでしょう。
具体的な対策の中でも、二次被害を防止する方法として「ID管理」「パスワード設定」「二段階認証の設定」などが挙げられます。
業務内容など必要に応じて、適切に作業が進められるように、該当者へのみID付与を行うシステムです。正しく活用することによって、内部の不正や外部からの攻撃などを防ぎ、情報漏洩を防止するのに役立ちます。
推測が難しいパスワードを作ることで、外部から侵入しようと試みる第三者からの不正ログインを防止できるとされています。あえて覚えやすい簡単なパスワードを設定している人もいるかもしれませんが、それは、セキュリティレベルの低いパスワードです。情報漏洩対策の為のパスワード設定として、あえて脆弱なセキュリティを選択することにならないよう「桁数を増やす」「異なる種類の文字を組み合わせる」など、複雑で独自性のある、強度の高いパスワード作成を心がけましょう。
現在、二段階認証の設定ができるアカウントをお持ちの方で、未設定のものがありましたら、是非ご利用いただきたいセキュリティ対策の方法です。
ログインする際の認証作業を二要素以上、且つ二段階にすることによって、たとえ一段階目の認証を突破されたとしても、二段階目の異なる素性や性質の情報を窃取し、不正ログインを完全に成功させることは極めて困難であるとされています。二段階認証を強度の高い状態で利用するためには、「二要素認証」「多要素認証」を利用する二段階認証を設定し、合わせて第三者に推測されにくいパスワードを作成するなどして利用することが大きなポイントです。 二段階認証については、下記の記事でより詳しく解説しています。
二段階認証とは?|メリット、導入方法、二要素認証との違いについてはこちら
二段階認証の設定が有効とされる、身近な例を1つご紹介します。
新型コロナウイルスの影響で、在宅勤務が推奨されて以降、利用者が急激に増えたテレビ・Web会議ツール「Zoom」。セキュリティの問題が次々取り上げられるなど、利用を不安視している人も多いはずです。 Zoomの有料プランや、会社のZoomアカウントを利用している人は、プロフィールのセキュリティ設定ページから、二要素以上を用いる二段階認証を有効にしましょう。その他にも安全に利用するためのポイントはいくつかありますが、二段階認証を設定することが、アカウントをより安全に使用するための第一歩です。
Vonageは、電話やSMS・ビデオ・チャット・SNSなど、さまざまなコミュニケーションチャネルをWeb・モバイルアプリケーションやビジネスへ組み込めるクラウドAPIサービスです。自動電話発信や電話転送、対話型IVR、自動SMS通知や二要素認証など、多岐にわたるサービスを実現できます。
コミュニケーションに関わる機能を自社で1から開発するのには多大な工数がかかります。通信の暗号化といったセキュリティ対策など考慮せねばならない点も多く、そのために実装を諦めてしまう企業も少なくありません。
しかしVonage APIと連携すれば、それらの工数をすべてVonage側が担ってくれます。お客様側でのインフラ開発はもちろん、ネットワークの構築・維持コストも必要ありません。ただ数行のコードを書き加えるだけで、自社サービスをマルチチャネル化できるのです。
Vonage Verifyはワンタイムパスワードの生成から送付、正誤判定までをワンストップで提供している二要素認証(2FA)APIです。Vonage Verifyを利用することで、自社で1から開発することなく、二要素認証のシステムを自社サービスに導入できます。
Vonage Verify ではマルチチャネルな配信ロジックを組むことも可能で、国内外を問わず高いワンタイムパスワード到達率を誇ります。また認証成功時に料金が発生する仕組みのため、不要なコストがかかりません。
自社で二要素認証のシステムを開発する場合、インフラプラットフォームの費用やPINコードの管理が必要になったり、不正アクセスの防止策や失敗試行の検出方法を考慮したりと、大幅な導入・運用コストがかかります。
しかし Vonage Verifyなら、認証成功率が一定の値を下回ったりや認証回数の閾値を超えたりした場合、パスワード送付を自動で停止します。不正行為を防止する仕組みがあらかじめ備わっているため、認証成功時の利用料金だけでセキュリティ対策を実施できるのです。
まとめ
今回の記事では実際に起こった情報漏洩事故の事例を通して、「情報漏洩」による事故を防ぐために必要なセキュリティ対策を紹介しました。事故の多くが人為的ミスによって起こっていること、また一度の事故により高額な損害賠償やそのほか多くの損害リスクが発生することを、ご理解いただけたのではないかと思います。
現在「完璧だ!」と言えるセキュリティ対策の方法は残念ながら存在しませんが、今回ご紹介した「情報漏洩を防ぐ方法」を参考に、管理体制の見直し、二要素以上を用いる二段階認証の導入などを行っていただくだけで、セキュリティレベルをより強固にできます。
情報漏洩は起きてしまってからでは遅いもの。未然に防ぐ対応を、常に見直し続けることが大切です。