情報漏えい対策の必須知識!現状と原因別の事例や対策を徹底解説
目次
情報漏えいの主な原因は、外部からのサイバー攻撃や内部犯による情報窃取・持ち出し、従業員によるヒューマンエラーなどです。
実際に大規模な被害事例も発生しており、リスク要因を理解して総合的に対策することが求められます。そこでこの記事では、情報漏えいの現状と原因別の事例や対策について紹介します。
情報漏えい事故の現状は?主な原因と事例
情報漏えいは外部要因によるものと内部要因によるものがあり、後者は意図的に行われたかどうかで2種類に大別できます。2010年代は人的ミスによる情報漏えいが目立ちましたが、2020年代は変化が見られ、動向を踏まえた対策が必要です。
まずは情報漏えい事故の現状を解説します。企業が自発的に公表する事故情報は氷山の一角であるため、実際にはより深刻な状況があると考えましょう。
2023年は情報漏えい・紛失事故の件数と人数が過去最多
東京商工リサーチの調査によると、2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は175件で、3年連続で最多件数を更新しました。大型の事故が相次いだことで、漏えいした可能性のある個人情報は4,090万件超に上り、2012年以降の12年間で最多となっています。原因別の情報漏えい・紛失件数は以下の通りです。
・ウイルス感染・不正アクセス:93件(構成比53.1%)。主にランサムウェア感染
・誤表示・誤送信:43件(同24.5%)。メール送信やシステム設定のミスなど
・不正持ち出し・盗難:24件(同13.7%)。従業員(内部犯)による意図した情報窃取・公開・販売
・紛失・誤廃棄:15件(同8.5%)。デバイスや書類自体を紛失・誤廃棄するもの
外部からのサイバー攻撃による情報漏えいも脅威ですが、従業員のミスや不正行為など内部要因による情報漏えいも、危機感を持って対策すべきといえます。
(参考: 『2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分|株式会社東京商工リサーチ』)
社内システム・サーバやPCからの情報漏えいが深刻
2023年の情報漏えい事故を媒体別で見ると、「社内システム・サーバ」が事故件数(125件)でも1件当たりの情報漏えい・紛失人数の平均(47万人超)でも最多です。社内サーバが不正アクセスを受けたことによる情報漏えいの他、従業員が不正に顧客情報を抜き出した事件も発生しています。
「PC」の情報漏えい事故件数は24件、漏えい・紛失人数は平均34万人弱です。PC本体の紛失もありますが、メール利用時の誤送信が多く見られます。
「書類・紙媒体」の情報漏えい事故は20件発生しましたが、漏えい・紛失人数(平均2万人弱)で見ると被害は比較的軽微です。
特に大規模な事故となりやすい社内システム・サーバやPCの情報漏えい対策は必須といえるでしょう。
(参考: 『2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分|株式会社東京商工リサーチ』)
サイバー攻撃による情報漏えい事故の事例
サイバー攻撃(ウイルス感染・不正アクセス)による情報漏えい事故は増加傾向にあり、事故件数は2019年から2023年まで5年連続で最多を更新しました。2023年の最も大規模な事故は、中古車販売業を営む企業において、ランサムウェア感染により240万件超の顧客情報流出の可能性があったものです。
他にも文房具・オフィス家具の製造販売を営む企業のランサムウェア感染、衣料品の製造販売を手掛ける企業の社内サーバへの不正アクセスによる、それぞれ約186万件・100万件超の顧客情報流出の可能性のあった事故なども公表されています。業種を問わずサイバー攻撃への対策は必須です。
(参考:『2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分|株式会社東京商工リサーチ』)
【関連記事:サイバー攻撃とは?動向・目的・種類・被害事例とセキュリティ対策】
内部犯による情報漏えい事件の事例
情報漏えい・紛失人数を原因別で見ると、突出して高い(平均100万人超)のは「不正持ち出し・盗難」です。2023年の不正持ち出し・盗難の件数は前年の約5倍となり、大規模な事件も目立ちます。
最も大規模な事件は、BPO業務運営事業を営む企業の元派遣社員が約928万件の顧客情報を不正に持ち出し、名簿業者に販売したことで不正競争防止法違反の罪で起訴されたものです。
他にも、大手電気通信事業者の委託先企業の元派遣社員が約600万件の顧客情報を不正に持ち出し、事業者が個人情報保護法に基づき行政指導を受けた事件などもあります。内部犯による情報漏えいを防ぐ対策も必須です。
(参考:『2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分|株式会社東京商工リサーチ』)
人的ミスによる情報漏えい事故の事例
従業員が意図せず、人的ミスによる情報漏えいを起こすこともあります。例えばメール送信時のCCとBCCの誤用、業務用デバイスや保存しておくべき書類の紛失・誤廃棄による情報漏えいです。
2023年は「誤表示・誤送信」に関して、システム設定の不備による大規模な事故も起こっています。例えば大手宅配ポータルサイトを手掛ける企業において、アカウント連携システムの不備により、約924万件の顧客情報が他のユーザーに誤表示される状態だった事故です。
特に顧客データの誤表示・誤送信は大規模な情報漏えいにつながりかねないため、従業員の意識付けやガバナンスの徹底などが求められます。
(参考:『2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分|株式会社東京商工リサーチ』)
サイバー攻撃による情報漏えいを防ぐ対策
サイバー攻撃による情報漏えいはランサムウェア感染の被害が目立ち、テレワークの浸透に伴いVPN装置を侵入経路とする攻撃も一般化しています。対策として挙げられるのは、脆弱性を放置しないことやCSIRTを設置すること、業務システムをよりセキュアなクラウドサービスに乗り換えることなどです。
ソフトウェアの脆弱性を放置しない
脆弱性(セキュリティホール)とは、プログラムのバグなどに起因する重大なセキュリティ上の欠陥を指すものです。これを放置すると、そこが不正アクセスやランサムウェアをはじめとした不正プログラムの入り口になる可能性があります。
近年はVPN機器の脆弱性を狙ったサイバー攻撃のリスクが増大しています。以下のようなポイントを押さえてセキュリティ対策を講じましょう。
・VPN機器の脆弱性情報を把握し、迅速に修正プログラムを適用する
・パスワードが初期設定のままになっている場合は必ず変更する
・通信の監視やIPS(侵入防御システム)の設置により、不正アクセスを検知・防止する
・サポート切れの製品はリプレースする
閉域網接続などVPN機器不要のリモートアクセス方法を採用し、「VPN機器を設置しない」という対策も効果的です。
【関連記事:VPN接続とは?仕組みやメリット・デメリットを分かりやすく解説】
セキュリティ分野の専門チーム(CSIRT)を設置する
自社内にCSIRT(Computer Security Incident Response Team)を設置することも検討しましょう。CSIRTとは、セキュリティインシデント(セキュリティ上の脅威となる事象)の監視や発生時の対応を行う、セキュリティ分野の専門チームです。サイバー攻撃の手口は巧妙化しており、適切かつスピーディに対策するには専門家の力が欠かせません。
ただしCSIRTの設置には人件費がかさみます。自社にリソースが不足している場合、CSIRTの運用支援サービスを活用することも検討しましょう。
【関連記事:サイバーセキュリティとは?サイバー攻撃の具体例、対策の施策例を解説】
セキュリティの高いサービスを活用する
現在使用しているサービスの提供元がセキュリティホールの修正パッチを配布しないときや、さまざまな事情でCSIRTを設置できないこともあるかもしれません。その際は、セキュリティ強度に定評があるサードパーティのサービスを活用するのも1つの方法です。
例えばオンプレミスのファイル共有システムは、万全なセキュリティ対策のために多大なコスト投下が求められます。この場合は機密性の高いファイルを「Box」などエンタープライズレベルのセキュリティを提供するクラウドストレージに移行することで、コストを抑えた安全なファイル管理・共有が可能です。
【関連記事:Boxとは?クラウドコンテンツ管理の魅力や解決できる課題を解説】
内部犯による情報漏えいを防ぐ対策
内部犯による情報漏えいの防止および被害の最小化を目指すには、情報窃取の経路を遮断することや不審な挙動を早期発見することが重要です。IT関連の具体的な環境整備として、アクセス権限の管理やログ監査がしやすいサービスを導入することを挙げられます。
情報にアクセスできるユーザーを限定する
システムのログイン方法やフォルダ・ファイルのアクセス権限を適切に設定し、機密情報にアクセスできるユーザーを限定するのは基本中の基本です。限られた人しか情報にアクセスできなければ、不正を働くユーザーが紛れ込むリスクを減らせます。
権限を設定するときは、「この情報に本当にアクセスする必要があるのはどのユーザーだろうか?」と考え、必要ないユーザーに権限を付与してはいけません。また、特定のユーザーに多くの権限が集中しないようにすることも大切です。
なおアクセス権限は、設定後に放置するとセキュリティ対策効果が失われる場合もあります。退職者の権限を削除するなど、定期的な見直しが必要です。また役員による内部不正も考えられます。権限設定だけでは排除できないリスクがあるため、AIを活用してユーザーによる不審な行動を検知できるなど、「ゼロトラスト」の原則に基づくサービスを利用するのがおすすめです。
【関連記事:ゼロトラストとは?クラウド時代のセキュリティ対策をわかりやすく解説】
監視を強化する
もう1つの基本的なセキュリティ強化策が「監視の強化」です。アクセスログやセキュリティルームへの入退室記録などをしっかり取り、正しく管理することで不正を働きにくくなります。
またシステムの設定ミスにより、意図しないユーザーによる機密情報の閲覧やコピーが可能な状態となってしまう事故も珍しくありません。このため「誰がいつシステムにログインし」「どのファイルにどのような操作を加えたか」といったログ情報を漏れなく取得し、監査することが大切です。
ログ監査により、インシデント発生時に原因を速やかに特定し、被害の最小化と事態の早期解決を目指せます。
人的ミスによる情報漏えいを防ぐ対策
従業員のヒューマンエラーによる情報漏えいは、デバイスの紛失・置き忘れやメール送信のミスなどにより起こります。基本的に、従業員の情報リテラシー・セキュリティ意識の低さや不注意が原因です。こういった漏えい事故を防止するには、情報の扱いに関する各種ルールを設定したり、継続的にセキュリティ教育を実施したりすることが求められます。
情報の持ち出しを制限する
そもそも情報の持ち出しを制限してしまえば、紛失や置き忘れは発生しません。持ち出しを禁止するルールを作るだけではなく、社内の特定の場所からでなければ特に重要な情報にアクセスできないようにするのも有効です。
具体的には、ネットワークから切り離されたコンピュータに機密情報を保存し、特定のコンピュータでなければアクセス自体が不可能になるように設定します。ルールを決めるだけではいつの間にか形骸化する可能性もあるため、物理的に持ち出しできなくすると安全でしょう。
デバイスやファイルにパスワードをかける
万が一の紛失や置き忘れを想定し、デバイスや機密性の高いフォルダ・ファイルにパスワードを設定することも効果的です。パスワードは容易に推測できない桁数の多いものを設定し、使い回しを避けましょう。
同じ理由で、ファイルの暗号化もとても有効な方法です。暗号化したファイルは復号化しない限り中身が分からないため、誤送信などで流出した場合でも重要な情報にアクセスされることを防げます。
ただし暗号化強度には注意が必要です。例えばStandard ZIP 2.0(ZipCrypto)で暗号化したファイルは解析ツールを使えば容易に復号できるため、AES256で暗号化しましょう。保存データ・送信データを自動的にAES256で暗号化するサービスを採用するのもおすすめです。
【関連記事:AESとは?暗号化の仕組みや安全性、データ通信での利用方法を解説】
メール送信の企業文化を見直す
メールで情報をやりとりする機会が多い場合は、送信前に複数人で宛先とファイルを確認するなどの対策が有効でしょう。1人で送信するよりミスが発生するリスクを大幅に減らせます。
なお、PPAPは情報漏えいリスクの高いファイル共有方法です。PPAPとは、パスワード付き暗号化ZIPファイルと開封のためのパスワードを、別々のメールで送信することを指します。
日本政府は2020年末に中央省庁でのPPAPを廃止しましたが、企業間でもPPAPに代わるファイル共有方法を選択するのが得策です。ファイル共有には安全なクラウドストレージなどを採用しましょう。
【関連記事:PPAPはここが危険!禁止の理由や非推奨・有効な代替策を徹底解説】
セキュリティ教育や秘密保持誓約書を取り入れる
情報の扱いについて総合的なルールを設定し、セキュリティ教育・研修を実施することも重要です。人的ミスは従業員の情報リテラシー不足や不注意により発生します。1回の研修だけでは気のゆるみによる情報漏えいを防止しにくいため、継続的にセキュリティ意識を高める取り組みを行いましょう。
また従業員の転勤時・休職時・退職時などに秘密保持の誓約書を作成し、守秘義務を守る意識付けを行うことも大切です。
ゼロトラストアーキテクチャの導入も効果的
テレワークなどでオフィス以外の場所で勤務する人が増えたことによるセキュリティ対策で悩んでいる方も少なくはないでしょう。テレワークにも対応できるセキュリティ対策をお探しなら、ゼロトラストアーキテクチャの導入もご検討ください。
ゼロトラストアーキテクチャは、あらゆるデバイスが社内ネットワークやアプリケーションにアクセスする際に一定の認証をすることで高いセキュリティを確保するものです。具体的には以下の要素を認証に用います。
・アクセスを要求しているデバイスが承認済みか
・セキュリティソフトをインストールしており、最新版にアップデートしているか
・不正プログラムがインストールされていないか
・正規のユーザーが使用しているか
社内・社外を問わず一律で上記の認証をすることで、危険なデバイスが社内ネットワークにアクセスすることを防げます。テレワーク環境にもスムーズに対応できますので、テレワークの際のセキュリティ対策にお悩みの際は、ぜひこちらもご検討ください。
情報漏えいを防ぐための環境整備ならイッツコム!
多くの企業に起こりがちな情報漏えい事故を防止するには、閉域網接続によるリモートアクセスや、安全なコンテンツクラウドによるファイル管理・共有を取り入れることが有効です。イッツコムなら「モバイル閉域接続」や「Box」により、情報漏えいリスクの軽減を総合的にサポートできます。
VPN機器不要の「モバイル閉域接続」で安全にアクセス
在宅勤務者や外回りの営業担当者が社内LANへアクセスする際、セキュリティを担保する方法としてVPNを使用することが一般的です。このリモートアクセス方法にはVPN機器のハッキングやネットワーク盗聴などのリスクがあり、より安全なソリューションが求められます。
イッツコムの「モバイル閉域接続」は、専用SIMカードにより経路判別する閉域網接続サービスです。NTTドコモ網・イッツコム網による閉域網を経由し、社内LAN・社内情報へダイレクトにアクセスできます。インターネットを経由しないため、通信の存在自体を秘匿できるのが利点です。登録外のデバイスからのアクセスも排除できます。
また、社外でのインターネット接続時にも社内LANを経由するため、通信ログを社内で取得・監査し、社外でのセキュリティポリシーの保持に役立つのもポイントです。
「Box」で情報漏えいリスクを最小化したファイル管理・共有
情報漏えいはサイバー攻撃の他、従業員による人的ミスや内部犯による持ち出し・盗難など、さまざまな原因で起こります。安全にファイルを管理・共有するには、多角的なセキュリティ対策を抜け漏れなく実施することが必要です。
各国の政府機関も採用するコンテンツクラウド「Box」は、ゼロトラストの原則に基づくファイル管理・共有を叶えます。SSO・二要素認証や7段階のアクセス権限設定、保存データ・通信データのAES256暗号化などにより、容量無制限のクラウドストレージで機密ファイルの安全な一元管理が可能です。
ベクターベースの電子透かしや70種類以上のログ監査にも対応し、社外パートナーも安全に招待できる協業のプラットフォームを提供します。AIを活用した未知のマルウェア検知やユーザーの不審な行動の警告も可能で、不正アクセスや情報の持ち出し・盗難など、あらゆる情報漏えいリスクを大幅に軽減できるのが魅力です。
まとめ
情報漏えいは外部からのサイバー攻撃の他に、内部犯による情報窃取・持ち出しや従業員のヒューマンエラーなど、さまざまな要因で起こり得ます。実際に数百万件の顧客情報流出など大規模な情報漏えい事故も発生しており、あらゆる情報漏えいリスクを想定した対策が必須です。
イッツコムが提供する「モバイル閉域接続」や「Box」を導入すれば、多角的に情報漏えいリスクを低減できます。スマートな情報漏えい対策をお求めなら、総合的な対策をシンプルなシステムでサポートできるイッツコムにご相談ください。
