情報漏洩の原因と対策
情報漏洩とは
情報漏洩とは、内部に保管しておくべき情報やデータが外部に漏れてしまうことです。
秘密情報が外部に漏洩してしまうと、関係者からの信頼性が低下すると共に多大な迷惑が掛かります。
企業は必要な情報セキュリティ対策を行い、情報漏洩を防止する必要性があります。
情報漏洩の影響
企業の営業秘密や個人情報等が流失し、さらに流出したデータが第三者に広く悪用された場合には、社会全体からの信用も大きく失ってしまいます。
この様に、情報漏洩が発生してしまうと双方にとって様々な不利益を被ることになるのです。情報漏洩が発生しないように予防することは、大小問わず企業の社会的責任となっています。
情報漏洩が発生すると、具体的にはどの様な影響が発生するのでしょうか。
一例としては下記の様な影響があります。
- 営業秘密や個人情報データなどの流出
- 流出したデータの悪用
- 自社業務の停滞
- 関連会社との取引一時停止
- ライバル他社への競争力低下
- 信頼や評判やブランドイメージの低下
- 損害賠償請求
- 行政からの指導
- 情報漏洩対策のさらなる強化
- 従業員の業務効率低下や不満の向上
個人情報保護法の改正や、総務省地方公共団体セキュリティガイドラインなどの改正が続いています。
自社の関係者全て(お客様・パートナー・株主・親会社・子会社・従業員)など情報漏洩の被害を最小限にする必要があります。現代では企業におけるセキュリティに対する責任は社会的に大きくなっています。
情報漏洩の想定損害賠償額
| 漏洩人数 | 561万3,797人 |
|---|---|
| インシデント件数 | 443件 |
| 想定損害賠償総額 | 2,684億5,743万円 |
| 一件あたりの漏洩人数 | 1万3,334人 |
| 一件あたり平均想定損害賠償額 | 6億3,767万円 |
| 一人あたり平均想定損害賠償額 | 2万9,768円 |
もし情報漏洩事故を起こしたらどれくらいの損害賠償額(慰謝料等)が発生する可能性があるのでしょうか。
JNSAセキュリティ被害調査ワーキンググループによる調査結果が公開されています。
個人情報などの情報漏洩が発生した場合、無視できない想定損害額となります。
1件あたりの平均想定損害賠償額は約6億4000万円。
1人当たりの平均想定損害賠償額は約3万円。
大企業でも非常に大きな想定損害賠償額となります。中小企業には致命的な金額であり、今後を行く末を左右するほどの想定賠償額となっています。
例えば、個人情報を委託先の企業で管理しているから安心できません。個人情報の委託先の企業から情報漏洩が発生しても、委託元の企業は監督責任を問われるようになっています。
なにより恐ろしいのは、お客様や取引先などからの信頼が低下してしまうことです。
情報漏洩の原因
出典:漏洩原因:2018年単年データ(件数)
JNSAセキュリティ被害調査ワーキンググループ 2018年 情報セキュリティインシデントに関する調査報告書
情報漏洩の原因はデータが公開されています。
情報漏洩の原因の3大原因
- 紛失、置き忘れ
- 誤操作
- 不正アクセス
この他に「盗難」・「内部犯罪」・「持ち出し」・「バグ」など様々な要因があります。
しかしながら、3大要因の「紛失・置き忘れ」・「誤操作」・「不正アクセス」から対策を行うことで、情報漏洩の多くの原因に対して効果があります。
情報漏洩の事例
2019年神奈川県HDD転売・情報流出事件
情報漏洩の事例は数多くありますが、近年話題となった神奈川県庁の情報流出事件についてご紹介します。
神奈川県庁では、重要な情報が格納されていたHDD(ハードディスクドライブ)を使用していました。
リース満了によりリース事業者にHDDを返却する際に、神奈川県庁内部でフォーマット(初期化)を実施した上でリース事業者に返却しています。リース事業者はHDDの神奈川県庁との契約内容により、データ復旧が不可能とするように、HDDの破壊を消去事業者に委託しています。
その後、HDDの破壊委託を受けた消去事業者は、HDDの破壊をしないままインターネットオークションサイトに転売をしました。この転売されたHDDを購入した購入者が、データの復元ソフトを利用したところ、ディスクの中から神奈川県庁が保有する一部個人情報を含むデータが出てきたため大きな注目を浴びてしまったという事件となります。
神奈川県庁でハードディスクのフォーマット(初期化)を実施していたにも関わらず、HDDの購入者が復元ツールで復元できてしまったという点が最大のポイントです。 フォーマットであればデータは消えている…という大きな落とし穴が、実際の事例として世の中に示されてしまった悲しい事件ともいえます。
参考:リース契約満了により返却したハードディスクの盗難及び再発防止策等について
https://www.pref.kanagawa.jp/docs/fz7/cnt/p0273317.html
~ミニコラム 事件の行く末は?~
消去事業者はこの事件がきっかけで業績が悪化となり、該当従業員の解雇やオフィスの縮小、それに伴い他の従業員の解雇などが発生し、企業のビジネスにも大きな影響が発生してしまいました。新聞記事によると、その後該当の元従業員には裁判所から懲役2年、執行猶予5年の有罪判決とのことです。
また、ネットオークションサイトには該当のHDD以外にも、数千にもおよぶ品物が出品され落札されていたとのことです。
消去事業者ではその後さまざまなセキュリティ対策が実施されています。
情報漏洩の対策
具体的に情報漏洩を防ぐために必要な対策はなんでしょうか。
情報セキュリティの3つの対策
出典:IPAの資料
管理的対策
人・組織
一番大事ともいえる「人」や「組織」に関わるセキュリティ対策です。
現代では仕事を進めるにあたり、普段何気なく利用しているインターネット、メール、ファイルの共有や転送などを安全に利用する必要があります。
「組織」では情報セキュリティポリシーの策定(基本方針・対策基準)と、具体的な情報セキュリティ対策が必要となります。
教育
従業員や関係者に対して定期的なセキュリティ教育とサポートが求められます。
新入社員や中途社員、企業に所属する年数にかかわらず、企業が定義する情報セキュリティポリシーに沿った教育が必要です。
集合教育、オンライン教育、メールなどによる注意喚起など様々な実施方法があります。
委託先の管理
派遣社員や協力社員など委託先の方に対しても、必要に応じて教育範囲を広げることが大事です。
最近ではサプライチェーンなど、取引先を起因とした情報漏洩事故も発生しているため、取引先が必要なセキュリティ対策を実施しているかを確認してから取引を開始することが求められています。
物理的対策
データセンター、事務所、建物など物理的なセキュリティに関する対策が物理的対策となります。
建物に出入りする場合の入退室管理や、監視カメラ、警備室、サーバーやストレージ等のラック施錠などが含まれます。地震・火事・災害・電源障害などにも対策が施されていることも多く、近年ではハウジングサービスやホスティングサービスなどでで自社システムをデータセンターで利用する事が多くなっています。
物理的なサーバー・ストレージ・ネットワーク機器・パソコン・USBメモリなど、情報機器の輸送や廃棄などのセキュリティ対策も含まれます。
技術的対策
ハードウェア、ソフトウェアまたはサービスなどで対策する技術的の一例です。
- ウイルス対策ソフト: マルウェア・コンピュータウイルス・トロイの木馬などへの対策
- ファイヤーウォール: ネットワークを経由した不正アクセスへの対策
- IDS・IPS: ファイヤーウォールでは防御しきれないDoS攻撃・DDoS攻撃への対策
- WAF: WEBアプリケーションなどWEBサーバーに対する対策
- 認証・認可: 様々なサービスやアプリケーションやシングルサインオンなど安全なアクセスに関する対策
- 暗号化: データを保護することで、大事なデータを見られないようにする対策
- セキュアPC・セキュアOS: もともとセキュリティを軸として設計されているハードウェアやOSを使用することによる対策
- ログ監視: 不正な動作や履歴などを記録して管理する対策
- サーバー要塞化: セキュリティパッチや不要なサービスの停止などセキュリティホールを少なくするための対策
- 盗難・紛失対策: 遠隔からのリモートロック・リモートワイプで第三者の不正操作や情報漏洩を防ぐ対策
など多くのセキュリティ対策が現代では求められています。
サイバーキルチェーンなど、サイバー攻撃のフェーズに対して対策を実施する考え方も広がっており、1つの箇所が不正アクセスされたとしても、次のフェーズで不正アクセスを防止するなど、多層防御という考え方が基本となります。
出典:IPA
https://www.ipa.go.jp/files/000013297.pdf
情報漏洩対策のガイドライン
情報漏洩対策やセキュリティに関するガイドラインを幾つかご紹介します。
さらに情報漏洩について詳しく知りたい方はぜひご一読ください。
- IPA 独立行政法人 情報処理推進機構 情報漏洩発生時の対応ポイント集
- 総務省 テレワークセキュリティガイドライン 第5版
- 総務省 地方公共団体における情報セキュリティポリシーに関するガイドライン
- 経済産業省 サイバーセキュリティ経営ガイドライン
テレワーク時代の情報漏洩対策
リモートワイプで情報漏洩防止
近年ではテレワークなどパソコンの持ち出しが増加したため、端末の盗難・紛失の可能性が高くなっています。
このような働き方にはリモートワイプによるセキュリティ対策が非常に有効です。
リモートワイプとはノートパソコンなどに保存されたデータを、遠隔からネットワーク経由でデータ消去することができるセキュリティ製品のことです。
モバイル端末を盗難・紛失してしまった場合に、リモートワイプでデータ消去を実施する事で、情報漏洩対策をする事が可能となります。データ消去だけでなく、不正操作を防止するリモートロック機能も搭載していることがあります。
リモートワイプ、リモートロックはこんな場面で役に立ちます。
- 外部に漏らすことができない重要データがPCに保存されている
- PCの紛失・盗難発生時に第三者による不正利用を防ぎたい
- 重要なデータが外部に流出するリスクを低減したい
個人情報など、企業でのデータの取り扱いが非常に重要になってきている昨今、情報漏洩対策は企業にとって無視できない課題となっています。
リモートワイプは企業が保有する重要データが外部に情報漏洩することを防止できるため、万が一事故が起きてしまった場合でもビジネスの損失を最低限に抑えることが可能です。
まとめ
情報漏洩とはなにか?について背景・原因・事例・リスク・対策などをご紹介させて頂きました。
情報漏洩対策はなにか1つで対策が完了するものではなく、対策するポイントを整理して全体最適化が重要になります。
弊社ワンビのセキュリティソリューションは、テレワークなど持ち出したパソコンのための強力な情報漏洩対策製品から、パソコンやサーバーなどの情報機器の廃棄・リース返却時に、安心の上書き消去方式により復元が困難な状態を実現し、データ消去証明書を発行できる製品・サービスを取りそろえています。
ご興味が御座いましたら是非弊社にお問い合わせください。
あわせて読みたい
詳しくはこちらから
