情報漏洩リスクとは?事例から学ぶパターンと対策
企業における情報漏洩リスクは、ビジネスの持続可能性、ブランド価値、資金の損失などに大きな影響を及ぼす可能性があります。この記事では情報漏洩のパターンと対策を解説します。
公開日:2023年4月3日
更新日:2024年6月21日
デジタル変革時代の情報漏洩リスク
私たちのビジネス環境は、デジタル化の波により大きく変貌しています。新たなテクノロジーの導入や、コロナウイルスの影響で加速したテレワークの普及は、業務の効率化と柔軟性を大幅に向上させました。しかし、これらの変化は、情報漏洩のリスクを新たな形で高めています。情報漏洩は、より複雑で予測しにくい形を取りつつあります。一方で、その影響は多岐にわたり、企業の信用失墜、顧客の信頼喪失、そして重大な資金の損失へと直結する可能性があるため、情報漏洩リスクへの対策は今まで以上に重要性を増しています。
しかし、どのようなパターンで情報漏洩が発生し、それに対抗するためにはどのような対策が有効なのでしょうか?本記事では、ビジネス環境で特に警戒しておくべき情報漏洩の事例を交えながら、そのパターンと対策を解説します。
外部攻撃による情報漏洩
外部攻撃による情報漏洩は単に個人情報への不正アクセスに留まらず、企業の知的財産や財務情報、顧客データなど、あらゆる機密情報が狙われます。その結果、企業は莫大な経済的損失だけでなく、信用失墜、顧客の信頼喪失といった長期的なダメージに直面する可能性があります。
デジタル化の波が全業界に広がる中で、企業間の連携もまた深まっています。このようなビジネスエコシステムの発展は、効率性とイノベーションを促進しますが、同時に新たなセキュリティリスクも生み出しています。委託先や海外支社などがサイバー攻撃を受けることで、サプライチェーンを介して結果的に委託元や国内本社の情報漏洩に繋がる、そのような事例が近年多数報告されるようになりました。
2023年11月、2024年2月にIT企業がサイバー攻撃による情報漏洩の事案を公表しています。その2事案とも委託先が不正アクセスを受けて、結果的に該当企業が保有するシステムに保存されているデータの漏洩が報告されています。
内部犯による情報漏洩
内部犯による情報漏洩は、従業員や契約社員、さらにはパートナー企業の関係者など、組織内部の人物が引き起こします。内部犯による情報漏洩の動機は多岐にわたります。個人情報の販売、競合他社への情報提供、あるいは単純な不満の表出など、その理由はさまざまです。また、内部からの情報漏洩は、そもそもデータにアクセス権限のある人間によって行われている事例も多数あることや、データアクセスやファイルの移動を不正行為と区別することが難しいため検出も困難です。
内部犯による情報漏洩の事例としては、2023年10月にIT企業が公表した元派遣社員による顧客情報の不正な持ち出しが挙げられます。持ち出された顧客情報はコールセンターのシステムに保存されていたもので、元派遣社員は約10年間にわたり、多数回持ち出していたことが公表されています。
人為的ミスによる情報漏洩
テクノロジーが進化し、セキュリティシステムが複雑化する現代においても、情報漏洩の多くは人為的ミスに起因しています。トレンドマイクロが過去に行った調査においても個人情報漏洩の最大の原因は従業員や委託先による不慮の事故(人為的ミス)であることが明らかになっています。
人為的ミスによる情報漏洩は、従業員が意図せずに行う誤操作、例えば、誤って機密情報を含むメールを不適切な受信者に送信する、重要なファイルを外部ドライブにコピーする、または機密文書を誤って不特定多数がアクセス可能な場所に置いてしまうなど、多岐にわたります。特に近年、急増している人為的ミスの1つが「クラウドサービスの設定ミス」です。従業員がクラウドサービスのセキュリティ機能を十分に理解していない、あるいは適切なセキュリティポリシーが確立されていないことによって、本来公開すべきでない情報が公開されていたり、不適切なアクセス権限が設定されてしまいます。
2023年5月には、自動車業界の企業がクラウド設定ミスによって約10年間、ユーザ約215万人の、ナビや車両の識別番号、車両の位置情報などの顧客情報が外部からアクセスできる状態にあったことを報告しています。また、直近では2024年3月末に、IT企業がアクセス権限の誤設定に起因して約15万人分の個人データが第3者にダウンロードされたと発表しています。
情報漏洩を防ぐために組織がとるべき対策
情報漏洩を防ぐために、組織としてどのような対策を心がけるべきなのか、原因に対する対策をご紹介します。
外部攻撃による情報漏洩への対策
外部攻撃による情報漏洩の対策は、サプライチェーンの弱点が狙われやすいことを踏まえると、自社のセキュリティ対策だけでは完結しません。委託先や関係会社など、サプライチェーンのセキュリティレベル向上が必須になることから、委託先のセキュリティリスク評価やセキュリティ監査などの対応も必要になっています。
内部犯による情報漏洩への対策
内部犯による情報漏洩を防ぐためにはログ監視やアクセス権限の限定化、USBドライブなどの制限といった技術的な管理措置に加えて、セキュリティ対策が正しく機能するための組織文化の醸成が必須になります。先の内部犯行によるケースでは、親会社が上記の情報漏洩を受けて2024年2月に公開した報告書においても、その組織文化が厳しく指摘されています。特に、「無謬性(むびゅうせい:問題や誤りが発生していないこと)」が優先される組織においては、開かれたコミュニケーションや透明性の欠如が生まれます。結果的に、問題や弱点の早期発見と修正ができなくなり、大きなセキュリティインシデントに繋がってしまいます。
人為的ミスによる情報漏洩への対策
人為的ミスによる情報漏洩を防ぐための対策は、従業員のセキュリティトレーニング、セキュリティポリシーの策定と実施、定期的なセキュリティレビューなどが挙げられます。これらの対策は一度きりの取り組みではなく、継続的なアプローチが必要になります。つまり、これらの対策の必要性を認識した上で、如何に取り組みを続けていくかがセキュリティリスクの軽減の鍵を握っています。
「当たり前」とされる対策を徹底することが重要
昨今、「ゼロトラスト」と呼ばれるシステムやデータベースにアクセスを試みるユーザやデバイスを信頼せず、必ず毎回安全性を確認する考え方が、広く知られるようになりました。実際に、ゼロトラストの実現は内部と外部の双方における情報漏洩の脅威に対する効果が期待できます。
一方で、ゼロトラストと同様に、基本的なセキュリティ対策も引き続き重要な要素であるといえます。ゼロトラストモデルを効果的に実装するためには、次のような基本的なセキュリティ対策がしっかりと行われている必要があります
●セキュリティポリシーやガイドラインの策定と適切な運用
●システムの適切な設定と脆弱性対応
●従業員のセキュリティ意識向上のトレーニングや教育プログラムの実施
●サプライチェーンやパートナー企業のセキュリティ評価
●内部および外部に対するセキュリティ監査
これらの基本的な対策が徹底されていなければ、最先端のセキュリティ技術を導入しても、情報漏洩のリスクを十分に下げることはできません。テクノロジーがどれだけ進歩しても、セキュリティにおける基本的な対策の重要性は変わらないということを認識しておくことが重要です。実際に、トレンドマイクロが過去に対応協力を行ったインシデントにおいても、基本的な対策の不足が根本的な原因となっているものが多く存在していました。
ただし、この基本的な対策の徹底はセキュリティ担当者だけで決して完結することはありません。組織全体でセキュリティに対する認識を共有し、リソースを適切に配分し、全員が協力して取り組む必要があります。また、セキュリティを重視する文化を維持していくためには、経営層からの強力なサポートも必要になるでしょう。
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年10月31日)